小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。
" F& C6 _0 O+ C# P R7 }. ~bbs.mocwww.com后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。魔力私服,最新魔力宝贝私服技术交流2 L0 _7 h% y& e& S/ x
但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号bbs.mocwww.com( y# q8 j5 V |$ U
bbs.mocwww.com+ B9 Y0 ~" X Z
经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート% ^" v7 d' a: k% m/ j
后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表9 b$ i/ R2 X- @2 t& K
通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码.
) D5 [: P9 y" x4 b% `( Y5 j) {妖城在线论坛再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制
! I$ @. z% J0 T# f) m魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏.
+ F" J8 l3 P q# R' R8 `bbs.mocwww.com魔力私服,最新魔力宝贝私服技术交流- a$ F+ N% L+ G: I2 E! U
bbs.mocwww.com; g9 _ |0 I) T; P6 O9 T
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
+ p, F* A" X7 z/ [妖城在线论坛acct 或 pacct,记录每个用户使用的命令记录; bbs.mocwww.com/ h3 f# `5 @/ @' X8 V
access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; 魔力私服,最新魔力宝贝私服技术交流: v B2 h# m# L5 K |( [
aculog,保存着你拨出去的MODEMS记录;
8 e) [2 g6 L, d9 S—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートlastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
- ~4 `% H/ B: `魔力私服,最新魔力宝贝私服技术交流loginlog,记录一些不正常的登陆记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート2 L& m! A4 ?4 L3 P
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成;
) \( E: _' Y. s+ L3 q v魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表security,记录一些使用UUCP系统企图进入限制范围的事例;
, X5 }& t! c2 E3 Z—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートsulog,记录使用su命令的记录;
2 U8 N, f1 A4 b# Zutmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; 魔力私服,最新魔力宝贝私服技术交流4 V/ L+ T. S8 D1 u6 B! A" O+ z9 L
utmpx,UTMP的扩展; bbs.mocwww.com8 u9 g* V" k# O0 z
wtmp,记录用户登录和退出事件;
- @, z: H! ^& R4 R妖城在线论坛syslog,最重要的日志文件,使用syslogd守护程序来获得。 妖城在线论坛2 }' n+ v: n- E. F; L! l
日志信息: —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート% U1 {9 k# R# h' J! F6 |! B- c! T1 S
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息; bbs.mocwww.com" w- F8 c R0 B4 I' p
/dev/klog,一个从UNIX内核接受消息的设备; 魔力私服,最新魔力宝贝私服技术交流: }% Y/ s' K; U( I
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息;
& G- F3 i) l2 |% a- J3 [. I; t) F) S妖城在线论坛Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机; 妖城在线论坛9 Y7 A" \8 J3 @- ^( U: x& P1 [
lpd-errs,处理打印机故障信息的日志;
X; J* E- S" H: [3 d' ~* | K7 M—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートftp日志,执行带-l选项的ftpd能够获得记录功能; bbs.mocwww.com3 ]8 C" ]4 y: V" l8 e
httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
, s: I5 }% ^, s8 }5 V: O) N& T9 Dhistory日志,这个文件保存了用户最近输入命令的记录; 魔力私服,最新魔力宝贝私服技术交流. O, t4 ]8 v; h0 Z. p! N
vold.log,记录使用外接媒介时遇到的错误记录。
- a6 b2 K$ A/ W8 {! q8 O# G0 q6 R
6 T$ V4 ~3 ^- H( K" _/ N1 N—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート这些信息中都可以被他们进行修改,造成各种查证的障碍
* O/ g' c5 T, Z% S魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
[- n4 R) _6 M$ e& n( i3 i# i" gbbs.mocwww.com
+ e8 Z0 G" `: P$ hbbs.mocwww.com所以在这和那些准备开F和已经开F的人说: —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート" h; j. r$ K0 s) D: l9 B1 p
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F.
# J" E. H! L4 w9 f—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
% F1 Y ?7 B" O' m A—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失.
+ P& ~- A6 o- \/ s妖城在线论坛4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。
6 r: z8 R v5 Y( r5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。1 @; e9 ?" _) q+ ^6 B$ M
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート U6 s* j) T7 m
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
1 [7 l8 Y1 T- D魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表
`; W& x, ^1 b1 {8 ~) e* H—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート中央喷泉
