小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表, c: }( I# d5 W: _; g
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。妖城在线论坛( i/ C7 |0 o/ \2 }; e
但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート7 n- d( f7 }" f' p. e I8 K; J
4 s6 L M3 c! ^. F. f; Z9 z妖城在线论坛经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表" ?8 k% k& B( n r& u* w/ w5 d5 W# I
后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是妖城在线论坛4 s" f8 s+ J( @! o
通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码. , S: B9 R$ c, @$ x1 C
再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制 N: r" O3 A4 H! _
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏.
% T7 o4 V4 ~. p( }5 f魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表
$ ~) f) A' |/ ^. t6 T# u4 X v: b
! X$ o+ d! o6 S! r1 _bbs.mocwww.com下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート9 i. l: `- H s& i$ l- M8 @
acct 或 pacct,记录每个用户使用的命令记录;
4 ~! I) X$ E, _. s魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; ; i9 \) l" g0 V+ F6 W' A
aculog,保存着你拨出去的MODEMS记录;
4 o, F8 [3 t$ [" t9 G魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录; 妖城在线论坛( E m! H6 M7 A- v
loginlog,记录一些不正常的登陆记录; : e! I7 F2 [7 d
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成;
7 X! w8 T2 }- \3 ~' Z# O' V8 R ~魔力私服,最新魔力宝贝私服技术交流security,记录一些使用UUCP系统企图进入限制范围的事例;
* v; Q4 L5 S' j: m1 n6 [—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートsulog,记录使用su命令的记录;
: B' u3 {: t0 ubbs.mocwww.comutmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; * p) d. n/ \/ C
utmpx,UTMP的扩展;
0 ?4 @4 d4 T: {4 r" K2 B妖城在线论坛wtmp,记录用户登录和退出事件;
# Y1 z2 W3 T7 G$ y1 S$ P" Y8 \魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表syslog,最重要的日志文件,使用syslogd守护程序来获得。
: V6 s% i5 k! X: M日志信息: 魔力私服,最新魔力宝贝私服技术交流& \7 Q) U0 o9 h% m
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息; 魔力私服,最新魔力宝贝私服技术交流7 i5 J) R7 \5 M% R2 I* q2 O
/dev/klog,一个从UNIX内核接受消息的设备; % `2 K s! e @! Q" |9 ]0 W
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息;
" [; a" ?1 l" C, i; ?9 mUucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
8 D6 s# c& h; O6 [8 E魔力私服,最新魔力宝贝私服技术交流lpd-errs,处理打印机故障信息的日志;
4 X: }4 J% V4 n6 A4 i: Abbs.mocwww.comftp日志,执行带-l选项的ftpd能够获得记录功能;
" F: o" A' e( |2 m& r' r魔力私服,最新魔力宝贝私服技术交流httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
7 o/ r8 d: N" s; S/ m+ @2 _妖城在线论坛history日志,这个文件保存了用户最近输入命令的记录; 魔力私服,最新魔力宝贝私服技术交流% @; A4 Z0 N; z: G% @2 ~
vold.log,记录使用外接媒介时遇到的错误记录。
3 I' l6 p( P' x魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表妖城在线论坛' f& O, ?% [- E
这些信息中都可以被他们进行修改,造成各种查证的障碍
" P/ T7 ^! J1 O* h6 N1 b% e+ M我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
: U0 Z4 p+ f. H& K0 rbbs.mocwww.com
% `) @6 A' [' L0 Zbbs.mocwww.com所以在这和那些准备开F和已经开F的人说: 妖城在线论坛; e+ [( c! n8 a' E- ~
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F.
) H# y, w8 S4 g/ i" ^bbs.mocwww.com2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地. 3 H9 e, J' ], y' y# O* G
3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表' ^+ N% f/ J3 J
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート, }! u) t! J! n) T8 \
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
% t) ? D- ~& o: N! s# N—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート1 m4 D9 c/ N1 s% y
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。bbs.mocwww.com: d2 E' o; W, w# [. u- H6 u% T4 Y
魔力私服,最新魔力宝贝私服技术交流# O* W2 W, q& c( T/ B
中央喷泉
