小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。
3 L: L+ {" S9 ^7 |7 E魔力私服,最新魔力宝贝私服技术交流后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。bbs.mocwww.com( b( W" e$ p# U/ g6 E3 Z$ N
但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号
: |/ d. V/ e9 [6 b魔力私服,最新魔力宝贝私服技术交流' c; G7 X$ v+ G' x4 r- H9 X7 e* e. c: E
经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????
+ J; W$ \$ V0 M- m6 M/ c B后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
* A' g5 Y5 ]% I( I6 Gbbs.mocwww.com通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表& U% t& \5 F2 f2 U
再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制
! {$ s0 Z5 L, F/ o3 [5 U2 a5 [通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏.
* e$ P7 n. j7 m0 m—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートbbs.mocwww.com3 |0 d Z" N& T. l% d6 X
6 B0 }8 F8 _6 s! t2 s魔力私服,最新魔力宝贝私服技术交流下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。 魔力私服,最新魔力宝贝私服技术交流% F+ n9 w4 K4 ?
acct 或 pacct,记录每个用户使用的命令记录; ! x$ f) e5 ~& _' ]5 g" d( {
access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器;
4 k' s4 ^: D1 l" m—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートaculog,保存着你拨出去的MODEMS记录;
" {) Q( i2 R: G Q/ \bbs.mocwww.comlastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
2 k: b- ~& W3 S4 U- e妖城在线论坛loginlog,记录一些不正常的登陆记录;
& ?( e# A5 m. z! s6 e' B" t. Y5 {, n魔力私服,最新魔力宝贝私服技术交流messages,记录输出到系统控制台的记录,另外的信息由syslog来生成; bbs.mocwww.com5 P/ {3 q$ ^0 _$ G4 L @* w
security,记录一些使用UUCP系统企图进入限制范围的事例;
) }" ]0 M: W; [) {. y; {0 m- J$ K! v. j—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートsulog,记录使用su命令的记录; bbs.mocwww.com9 | B6 q9 l0 w: T
utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; 魔力私服,最新魔力宝贝私服技术交流( d$ a2 k5 k) r5 C; }8 a' e0 a
utmpx,UTMP的扩展; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表 q) e5 o3 o3 j8 c1 a9 x& E
wtmp,记录用户登录和退出事件; 7 u- J3 s4 |# M# d4 N- T D0 c
syslog,最重要的日志文件,使用syslogd守护程序来获得。
/ _) p# j$ M- s0 v$ ?* m" I—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート日志信息: bbs.mocwww.com7 x3 ~$ y* o/ u$ m8 p7 \
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
& ^( Y+ A3 }, j& D k$ Y7 m妖城在线论坛/dev/klog,一个从UNIX内核接受消息的设备;
+ ~/ N: g# y; E- R, K% L/ |5 Kbbs.mocwww.com514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息;
1 _) G' P: E; T) Y: v& R& t魔力私服,最新魔力宝贝私服技术交流Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
6 ~5 m: X* W! e( d3 F, T—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートlpd-errs,处理打印机故障信息的日志;
7 O: w. q( E3 Q# H3 p魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表ftp日志,执行带-l选项的ftpd能够获得记录功能; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート& v! }& a' q* n6 W0 x$ g
httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
, ^) F& w8 j, F, N! J* i+ V) t* l6 Y魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表history日志,这个文件保存了用户最近输入命令的记录; 4 ~& z; l8 O+ c7 y% q
vold.log,记录使用外接媒介时遇到的错误记录。 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表0 P" g/ p$ `2 _6 v$ ~
2 _$ M+ N- x/ Q魔力私服,最新魔力宝贝私服技术交流这些信息中都可以被他们进行修改,造成各种查证的障碍
6 B2 u8 I5 p) M8 @1 d. u/ s我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了bbs.mocwww.com, i7 Q# J" o' _- T9 @
魔力私服,最新魔力宝贝私服技术交流, C/ ]7 [# {8 x
所以在这和那些准备开F和已经开F的人说: % L% C: e8 a8 x6 k# \
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F.
- q* Z1 A3 _5 y' a; J$ H3 [/ i2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
( \0 V7 u& T' T8 P/ [( m魔力私服,最新魔力宝贝私服技术交流3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. bbs.mocwww.com# S3 T% I# ~& I3 S
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。妖城在线论坛$ M# T4 I/ L) A g5 Z6 G
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。妖城在线论坛2 u$ `! E. `" {7 b- ~, z b
bbs.mocwww.com) L* `3 E8 z1 ?( u
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
' C0 l9 D% b# A' J. i; r. A妖城在线论坛
4 v) b& h) u$ Y; y: b: \魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表中央喷泉
