小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。
' D+ O! P: L" b* {: P7 W后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。
! z* `( y% ~0 n) p P6 q( n魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号魔力私服,最新魔力宝贝私服技术交流, S, z2 F, R7 |
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表4 L$ [' Q* E2 B) C( O8 n4 B* M$ i
经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表; S3 ?7 A: k% y
后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート5 Y: }% |( e3 U% {1 S
通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码.
0 ^; i, z) H8 _魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表0 O2 N5 }! A9 s
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. 妖城在线论坛3 G+ J F* W# y1 l
8 `. e/ e3 T8 t0 T1 Y, h& ]妖城在线论坛
) W) g8 B/ ^+ t: s7 v: M9 K- t3 I9 I—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。 - o, M& u' S) t) t3 W5 O- ~5 ^
acct 或 pacct,记录每个用户使用的命令记录; bbs.mocwww.com/ q3 ?7 q$ Z% v) b2 Q2 R
access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; 魔力私服,最新魔力宝贝私服技术交流# P+ x0 E) Q9 v) F
aculog,保存着你拨出去的MODEMS记录; 魔力私服,最新魔力宝贝私服技术交流; F6 L* U& D7 H6 |+ ?: a' ^
lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录; 6 ~, p- Z0 U9 `. V6 x
loginlog,记录一些不正常的登陆记录; 妖城在线论坛+ o5 o0 R& c/ v" M7 w9 Y
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成;
; L% W5 `) p) a9 ~( n# c& `security,记录一些使用UUCP系统企图进入限制范围的事例;
: n: ^$ P& p+ s; {—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートsulog,记录使用su命令的记录; 魔力私服,最新魔力宝贝私服技术交流8 Q, p F9 \" y" Y
utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; . \9 \4 X+ o5 v2 r! C: X
utmpx,UTMP的扩展; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート2 K2 H3 N8 s8 O
wtmp,记录用户登录和退出事件; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表' D5 B( U/ }/ ], I; U* W, v/ o5 [9 {
syslog,最重要的日志文件,使用syslogd守护程序来获得。 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート+ @' G: N0 u3 e
日志信息: 魔力私服,最新魔力宝贝私服技术交流/ Y3 u% T# R2 b" D" E# }% Q& ~
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息; 妖城在线论坛, F+ V5 i' T2 Y- f- l' X3 I
/dev/klog,一个从UNIX内核接受消息的设备;
8 u4 L& y3 z: l. u, t妖城在线论坛514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表* N# ~* u. m% K b) D- s
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机; 妖城在线论坛) x4 }* a0 S) b7 d
lpd-errs,处理打印机故障信息的日志; 魔力私服,最新魔力宝贝私服技术交流% I2 D0 H3 N! E9 c$ \- {# j, L
ftp日志,执行带-l选项的ftpd能够获得记录功能;
- L/ Y( g2 r/ s- J6 @魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
4 `' Q+ D* J( p, Wbbs.mocwww.comhistory日志,这个文件保存了用户最近输入命令的记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート2 l: U" L+ S K! M, d* D" T% f3 Q" V
vold.log,记录使用外接媒介时遇到的错误记录。
4 k* I" m$ J/ y4 {2 D" W- O, _bbs.mocwww.com: d& R6 [* z( D5 t! w; D) \
这些信息中都可以被他们进行修改,造成各种查证的障碍
) a$ v4 t3 K$ W9 U# Q. m我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
5 |6 K' |5 X0 ?& N u9 V—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートbbs.mocwww.com! b. R+ W8 G# R/ J( A
所以在这和那些准备开F和已经开F的人说: E+ _! y$ C, r: F% s
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F. 妖城在线论坛% q/ R0 t' U( j- X% j
2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
5 L! x9 S8 z" s! a魔力私服,最新魔力宝贝私服技术交流3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート2 m/ B* f) p9 l7 m. T
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート& ^. [: Z6 ]3 V7 t$ B( b
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
- I1 V5 d) ]! X' O; ]9 g: l0 ~- [" T0 G- H
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート2 j# g8 l6 C9 J* J$ u4 B- p, n
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート7 f6 q! L) X) B) q
中央喷泉
