小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。( F' |; C; P- N6 E) g
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表1 G+ K9 x- }2 t9 v( d
但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号
$ z; M/ y, [1 U, d4 A( J) m% u8 d魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表/ F4 [2 T2 D7 b' x+ S
经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????
7 d9 e" I0 h1 G! C6 H1 Qbbs.mocwww.com后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
9 d7 X2 |* b9 n/ O0 _8 X q妖城在线论坛通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码. —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート y0 H' ?6 X) @! g
再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制
! J0 i+ v3 R/ h5 w1 ^3 n, c: mbbs.mocwww.com通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏.
2 {, ?1 Q" |5 w—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート! j. d( ^& S6 O; h# O/ Q: a9 D
) U0 r0 ^4 w1 ~% d% Y妖城在线论坛下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。 妖城在线论坛: a* S% N1 s3 S' j* C0 d% G( K$ v
acct 或 pacct,记录每个用户使用的命令记录;
, l( p9 N, I$ Naccess_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器;
# U. g% }6 d& v$ p3 N' g2 Xbbs.mocwww.comaculog,保存着你拨出去的MODEMS记录;
5 g [9 ~9 D5 Ylastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート7 [ H5 o3 ^2 y, u! ]) ~
loginlog,记录一些不正常的登陆记录;
, C3 A5 W" |. ]2 g2 |6 [bbs.mocwww.commessages,记录输出到系统控制台的记录,另外的信息由syslog来生成;
: J& W( \9 H6 Z! X D+ D—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートsecurity,记录一些使用UUCP系统企图进入限制范围的事例;
* { z4 v6 b; c. {—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートsulog,记录使用su命令的记录; 妖城在线论坛/ U. V$ u. j: [6 e+ G
utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; 魔力私服,最新魔力宝贝私服技术交流4 t G g1 X2 i9 q0 k) J% [, i, M
utmpx,UTMP的扩展;
& \' h8 n! u% e—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートwtmp,记录用户登录和退出事件; bbs.mocwww.com: B! q% R- \3 W
syslog,最重要的日志文件,使用syslogd守护程序来获得。
0 ]' J: g7 W" Z; O日志信息:
& J! |/ u$ \- t! y" y—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
; r2 h1 l5 k0 w0 M% [6 {5 b6 Z—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/dev/klog,一个从UNIX内核接受消息的设备; 6 a- T5 \- t* V$ k$ P* x9 K9 Y
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; ! `9 U; a5 O5 e7 p! B# E
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机; ' h7 V& C' e8 `, T
lpd-errs,处理打印机故障信息的日志; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表" t" a7 c' E5 |3 T" D( B
ftp日志,执行带-l选项的ftpd能够获得记录功能;
( M) j5 |, d, }! Z: s" t fhttpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
! b( ^( ?1 o r! U/ [ q5 l—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートhistory日志,这个文件保存了用户最近输入命令的记录; 5 q3 ~* n2 y6 m: p! y1 M
vold.log,记录使用外接媒介时遇到的错误记录。 魔力私服,最新魔力宝贝私服技术交流3 ^% f+ X5 n& u# E3 I
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート" h! [7 G5 p7 I6 B$ I4 D; Y
这些信息中都可以被他们进行修改,造成各种查证的障碍
+ n2 q- l: X8 Qbbs.mocwww.com我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
- O% d1 ^8 }% i—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表; z ?- b4 r+ I
所以在这和那些准备开F和已经开F的人说: bbs.mocwww.com' x9 u6 N' W+ A3 t' f) z- w
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表! @% U: \8 K+ s5 i
2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表. G9 R1 Z L9 p) Q
3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失.
( @* w; W( w8 a2 U—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。; B7 T+ S- K- u
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。3 o: M1 Q8 W! r$ Y
6 h, L; J" b( X9 w) t% u: Hbbs.mocwww.com最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。3 X; u4 m# c; b& j3 v9 N6 {
, W8 ]# k" g* V
中央喷泉
