小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。
, [8 I0 y5 U3 c9 z$ Z! Kbbs.mocwww.com后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。魔力私服,最新魔力宝贝私服技术交流) P( i* S4 D9 g5 a# F ]! x
但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号
8 ~$ R) p! I( u( ^( t% q
1 Y+ S9 x% \: d" B% G8 q! o—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート! K t) {+ L* H9 W! ^6 p, B. q& a
后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表 T5 Z$ T! Q/ n+ o, w' }
通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码.
/ _4 ?8 w2 H4 @$ Obbs.mocwww.com再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制, z- S5 d/ V3 Y$ k* ]; l
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. bbs.mocwww.com2 J e" @; c# H: t: d
bbs.mocwww.com! s, g( l0 t* e( t* [
( G9 ^. g5 w4 U$ ]% N1 ]! a% g) ebbs.mocwww.com下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
1 ^* F# D* C% Z妖城在线论坛acct 或 pacct,记录每个用户使用的命令记录;
0 G- |, V/ |! j# [1 Gbbs.mocwww.comaccess_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; 妖城在线论坛& u6 t% j- E3 g% ~2 R2 K. B; P; q
aculog,保存着你拨出去的MODEMS记录;
6 ~8 e7 g; l. w# p: E! `bbs.mocwww.comlastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
! [1 L# S4 N! `5 g魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表loginlog,记录一些不正常的登陆记录;
# q* {1 m9 z8 Y; B* Y+ H* c0 l5 b& K; X魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表messages,记录输出到系统控制台的记录,另外的信息由syslog来生成; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート% y0 A3 C9 V$ y# w
security,记录一些使用UUCP系统企图进入限制范围的事例;
" c! V+ G* E3 M0 d- ^8 p$ l# P—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートsulog,记录使用su命令的记录;
. d( c' U2 N& ?& ^0 [* _—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートutmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; 妖城在线论坛$ o; @" x# b7 Y6 ~7 w+ G! r
utmpx,UTMP的扩展;
* {3 f' q' ] ?/ Kwtmp,记录用户登录和退出事件; 1 g) d7 _1 ^+ T! T' r+ A1 N9 @- F
syslog,最重要的日志文件,使用syslogd守护程序来获得。
. Z; r! h. R$ o5 ^& z; d6 c妖城在线论坛日志信息:
' m8 L# v. E* L. ~6 {2 `妖城在线论坛/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息; 魔力私服,最新魔力宝贝私服技术交流% r% I- k z6 q4 s: B$ {/ s
/dev/klog,一个从UNIX内核接受消息的设备;
! u) R0 A3 K$ Q& N; I514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート" @' y# V( d; S
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机; bbs.mocwww.com u; v# E/ ^! d. T9 f
lpd-errs,处理打印机故障信息的日志;
( w- c8 F- g9 y# v9 J9 U# t3 y—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートftp日志,执行带-l选项的ftpd能够获得记录功能;
* x9 G& ^; ]' h—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートhttpd日志,HTTPD服务器在日志中记录每一个WEB访问记录; 妖城在线论坛& P7 l8 K& [& D% l# b( w& [# q
history日志,这个文件保存了用户最近输入命令的记录; 魔力私服,最新魔力宝贝私服技术交流2 i7 L; w. T: ]( q4 y; F3 B X+ Z, x
vold.log,记录使用外接媒介时遇到的错误记录。 妖城在线论坛9 @% \- b5 a% a$ v9 o" Q
5 t: R i) Y+ w& I# J( `魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表这些信息中都可以被他们进行修改,造成各种查证的障碍妖城在线论坛9 d) g, y+ v) q1 \# _, n
我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表6 X0 d0 k7 ~! Y$ g
2 i5 t+ K( ]- _6 O9 ~. v- k—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート所以在这和那些准备开F和已经开F的人说:
- Z, C0 t: R5 [. x' d' m妖城在线论坛1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F. bbs.mocwww.com( n- Z0 t( D9 f5 k6 @
2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
, L, {3 n/ M2 j/ x- K魔力私服,最新魔力宝贝私服技术交流3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. 魔力私服,最新魔力宝贝私服技术交流9 ?4 p' m# {) E/ w2 e2 z8 k p
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表6 J, `; E; j4 E. d
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表7 l# Z& X# m, G* g
4 H+ V- v$ B5 N. D* f N, G
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
( p: x( [; M) n: Q! d8 q—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートbbs.mocwww.com& E3 a/ \/ l' V% N# [
中央喷泉
