发新话题
打印

[讨论] 小服被入侵,日志文件中登陆信息被篡改

小服被入侵,日志文件中登陆信息被篡改

我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。妖城在线论坛8 R8 Q/ z6 z0 t4 A# Q
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。
' Y, w. }& p! B6 z% l+ K$ H魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号
1 c" _+ }/ r9 w$ q' c3 c/ ~魔力私服,最新魔力宝贝私服技术交流bbs.mocwww.com: L& z( f3 M$ G
经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????
* L1 _( F  p% e1 d9 s; \. X—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
) a! ~0 m( @. S6 c6 _% l+ S魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码.
0 J4 H$ c+ P! m# K! [; m2 y2 a魔力私服,最新魔力宝贝私服技术交流再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制
* F3 E4 e. g: D6 b. A3 A9 o9 e" }魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. bbs.mocwww.com4 n, t4 _0 i# `% d9 q
魔力私服,最新魔力宝贝私服技术交流% t3 v$ @$ w' O- i+ q9 x" j0 I
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート9 u1 d. b2 k* G9 f' [" I  u
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
+ M/ y  u, h- W' A魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表acct 或 pacct,记录每个用户使用的命令记录;
/ J  |6 r) A3 D/ h5 h魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; 魔力私服,最新魔力宝贝私服技术交流0 ~3 D! w/ h& ]" s
aculog,保存着你拨出去的MODEMS记录;
" O$ r5 L) N9 x9 O6 M—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートlastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
' t- [3 @" @% v5 q5 Vbbs.mocwww.comloginlog,记录一些不正常的登陆记录; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表8 U) A- G- J, u7 b
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表7 H& o4 I8 [  a7 N7 r$ H
security,记录一些使用UUCP系统企图进入限制范围的事例;
# A7 v3 @1 {& Wsulog,记录使用su命令的记录;
0 f7 K2 X3 S( Y+ x$ X: n) c魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化;
/ V5 d' }. h# y- ~! A5 }$ ]7 f魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表utmpx,UTMP的扩展; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表  |. K  }: p$ x. o5 b
wtmp,记录用户登录和退出事件; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表- Y. c1 a; Q9 e5 G( z
syslog,最重要的日志文件,使用syslogd守护程序来获得。 魔力私服,最新魔力宝贝私服技术交流- T) R8 S: l3 X7 p1 b8 P
日志信息: 8 U4 x; M' }( W8 Y& t% H7 p' E) e! q
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
. J, Q# a1 ?' c/ |3 p. K妖城在线论坛/dev/klog,一个从UNIX内核接受消息的设备; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート: O4 p% T$ G/ O. p1 c
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; bbs.mocwww.com: @) E& S9 }, H2 [( Q8 D, `$ F# @
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
6 [& Z- E3 u0 k& P魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表lpd-errs,处理打印机故障信息的日志;
# z' u. u6 |) C" ?$ E9 U+ M魔力私服,最新魔力宝贝私服技术交流ftp日志,执行带-l选项的ftpd能够获得记录功能; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表1 J; }+ V# A1 b
httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
- b0 c' a; a+ n6 Q0 Q魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表history日志,这个文件保存了用户最近输入命令的记录;
. u" o! ], o4 ?: s7 ~0 tvold.log,记录使用外接媒介时遇到的错误记录。
5 c$ g& H! s' B) Sbbs.mocwww.com妖城在线论坛5 c9 Y' P5 w1 x, k) V7 L1 }
这些信息中都可以被他们进行修改,造成各种查证的障碍3 G" @  v1 s6 M- P/ e% W: y
我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
3 X8 t% _7 d, z' E: m
2 F4 l! u. r  b魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表所以在这和那些准备开F和已经开F的人说:
. d" A  _8 l1 t; _* I5 m& g/ D+ Q* V- i—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F. 魔力私服,最新魔力宝贝私服技术交流: b, X6 @6 o; l* r
2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
1 U  B8 f' t! p$ ~2 M3 I% Pbbs.mocwww.com3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート7 T5 ~- S+ p: s
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。妖城在线论坛" }% r9 f. j0 j
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
3 U5 z5 |, z  }0 i6 M/ }! ?妖城在线论坛—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート3 b! @; f) u& l  b
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
' _  u9 M6 e4 x0 n
5 P1 F: a: q) f& d4 a- x9 ~魔力私服,最新魔力宝贝私服技术交流中央喷泉

TOP

嗯...给准备开F的朋友一个好的建议了... 不过..偶不开F...
思念,是止不住对你的想念~!

TOP

能管理级控制服务器当然可以将机器上纪录的相关信息删除,一般正规的还需要通过外部的安全措施,比如几级服务器技术,真想开F还是买个托管吧,至少人家还多个专业级的硬件防火墙!

TOP

    总有人喜欢攻击

TOP

要学习的还很多
3 B) J$ p: i$ ?1 g( ?' M魔力私服,最新魔力宝贝私服技术交流要防范的也很多- -
! M% U$ v' [3 Y0 j; i6 n魔力私服,最新魔力宝贝私服技术交流防不胜防啊

TOP

我一开始也以为是他们自己开始使用外挂
8 T. `0 ?7 ?) U3 g/ q) E魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表但是后来发现这些登录记录和IP是被修改伪造的魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表0 i8 [; U1 R. k9 U: s# y$ p' {, D

- ~! l( j  }& R魔力私服,最新魔力宝贝私服技术交流差点就封错了好人了
. u  f8 U7 ?. a& E$ M) x妖城在线论坛呵呵
2 ]1 v3 y: b2 `3 o5 }—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表& F% k4 Y0 m' p
进过修整,已经重新开F了
' t8 m% R1 d' |6 d5 A, u6 A/ @魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表
+ P* q3 F( G: _+ Q/ g& g, i呵呵

TOP

很大一部分原因是因为自身给人家开了门.

TOP

不错的帖子 楼主加油
寻找一个/一群朋友,一起创造魔力

TOP

防范防范 额 看来要多学习下
成功是努力的动力!!

TOP

发新话题