小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。魔力私服,最新魔力宝贝私服技术交流- J) t! k$ U5 l i* D
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート2 j8 _6 y8 X: I" \: {2 ?& g
但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号
0 E3 J7 V7 k5 i9 u妖城在线论坛
5 @: A+ F: ^6 H$ ?1 c魔力私服,最新魔力宝贝私服技术交流经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート+ Y8 u# L/ ?8 m2 Q
后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
- r- H, V2 u+ s6 d0 L$ l—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码.
" `0 ^: s, ?/ M O- V, Dbbs.mocwww.com再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート) p% H/ m, e( ?
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. $ x4 y7 _! e0 A% E0 ?' A4 _' ~
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表3 A/ `& l8 f: D
bbs.mocwww.com/ T7 Y: c8 }) N9 @, ?. v
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
7 l8 S2 K0 D) y魔力私服,最新魔力宝贝私服技术交流acct 或 pacct,记录每个用户使用的命令记录;
- _0 ?3 n' O& n/ P) Mbbs.mocwww.comaccess_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器;
+ m" ?- c( c0 Y+ z/ D0 b9 ?妖城在线论坛aculog,保存着你拨出去的MODEMS记录;
7 E0 X& \( o* w( B: _) [魔力私服,最新魔力宝贝私服技术交流lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
% Z( l4 G) N! {# M* V( V3 }! ~" j妖城在线论坛loginlog,记录一些不正常的登陆记录; 魔力私服,最新魔力宝贝私服技术交流# W+ c0 O9 j- o% [6 G Z
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート: G! U$ s, `# k' a
security,记录一些使用UUCP系统企图进入限制范围的事例;
# o, n$ V$ t. w5 [* {4 S7 w0 |魔力私服,最新魔力宝贝私服技术交流sulog,记录使用su命令的记录;
( D" R9 `7 F3 f" l5 U: Xutmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; 妖城在线论坛) X K$ c" g# V+ k0 G- q/ ]% s+ X
utmpx,UTMP的扩展;
: S" ~( J+ @( I( r" jwtmp,记录用户登录和退出事件;
) r; @/ {+ i' e2 i妖城在线论坛syslog,最重要的日志文件,使用syslogd守护程序来获得。 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表, K4 l4 x+ M/ t8 [
日志信息: 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表8 m) O5 G- o. b6 @* Y
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
( l) `8 W5 }5 b8 c妖城在线论坛/dev/klog,一个从UNIX内核接受消息的设备; 7 f; l5 y) @% `# @! Z
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息;
* N" h8 `/ V3 H4 D( Q& [8 Q; I—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートUucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机; % M5 K# l0 K) v4 D. t% F& h8 `
lpd-errs,处理打印机故障信息的日志;
+ {3 k3 ^7 F" _8 q5 {. tbbs.mocwww.comftp日志,执行带-l选项的ftpd能够获得记录功能;
8 h4 c: {6 f( A0 ~魔力私服,最新魔力宝贝私服技术交流httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
4 a0 F2 [3 V6 }/ Y# y9 l9 _% I—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートhistory日志,这个文件保存了用户最近输入命令的记录; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表4 \+ }' w* a! |: ^) W* k
vold.log,记录使用外接媒介时遇到的错误记录。
& }6 L( ^/ d' u/ jbbs.mocwww.com. \# I! A4 h9 B0 S3 q
这些信息中都可以被他们进行修改,造成各种查证的障碍妖城在线论坛( y$ { W+ O O
我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
$ _ E+ I+ g7 I+ X2 q+ o$ J/ l- X—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート
4 v; g+ ~: y" B2 z+ D4 t& K魔力私服,最新魔力宝贝私服技术交流所以在这和那些准备开F和已经开F的人说: 魔力私服,最新魔力宝贝私服技术交流; f' `& m! Q7 L) k
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F. 魔力私服,最新魔力宝贝私服技术交流* u) [2 F9 u3 J) _2 ~4 d" r
2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
# ^* ]6 L0 e. V+ S—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表3 ?* w, }! r) o6 {& h, r% T
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。
) \( B* U" s( Q魔力私服,最新魔力宝贝私服技术交流5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
; V+ O0 i( w1 g, m% abbs.mocwww.com
. x0 c: x1 ?7 b j8 I魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
3 t- F9 `9 u! n7 s( I9 }: A魔力私服,最新魔力宝贝私服技术交流—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート. X! ?) r, r4 x* M
中央喷泉
