小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表% W" R) Q& v% ^' S0 z
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。
3 V: b+ ~/ Y, _: v! ^, d8 v0 [魔力私服,最新魔力宝贝私服技术交流但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号bbs.mocwww.com% m% F# `% \7 N( k1 H0 x- V* \
& S4 G& b0 ^- f7 T/ \& {魔力私服,最新魔力宝贝私服技术交流经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート& M0 c+ _7 A% R! b3 A1 Z' A# X+ C7 D
后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是bbs.mocwww.com$ f9 s1 _. {6 ~8 V7 N" ]
通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码. 魔力私服,最新魔力宝贝私服技术交流1 V" p( f" ^% {3 C$ H& j K9 B) W
再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制
: W' J8 d) Z$ M7 o: \+ b通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. 6 f1 `$ _8 x# D2 r5 V o
妖城在线论坛# a6 m/ h! X0 y/ u0 h
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート8 F D4 {) c) q8 }8 J" n
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート* ^, q( {+ a# ^4 X: o
acct 或 pacct,记录每个用户使用的命令记录; bbs.mocwww.com% a/ y. x c2 b, h
access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; ( E% w4 I' J5 I0 S9 B
aculog,保存着你拨出去的MODEMS记录; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表, p! E7 u6 v) H0 l& m: k p1 F4 Q
lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート0 d) |4 X' ?8 Q& |2 q
loginlog,记录一些不正常的登陆记录; 妖城在线论坛' D0 j$ V; F- e; P2 F
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成; bbs.mocwww.com# }& ^$ N' [; Q) k E+ ]
security,记录一些使用UUCP系统企图进入限制范围的事例; 魔力私服,最新魔力宝贝私服技术交流# {/ I& j5 E/ F( }* R5 x" e! \; W
sulog,记录使用su命令的记录;
/ H! b0 L) a8 \ v+ J# w妖城在线论坛utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; bbs.mocwww.com8 Q, O0 H. V0 {7 b9 s* I
utmpx,UTMP的扩展;
m+ t( I$ B9 a6 R* y# d4 ?wtmp,记录用户登录和退出事件; 0 m' d) q8 h8 B6 s9 j+ |& T
syslog,最重要的日志文件,使用syslogd守护程序来获得。 bbs.mocwww.com; ]4 }2 u1 E1 A4 T4 F8 R+ s$ c% b
日志信息:
1 E- w, A9 ?- C/ T4 m' f& Y* m妖城在线论坛/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
# b3 O1 i3 q) K* ]魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表/dev/klog,一个从UNIX内核接受消息的设备;
$ D- b* j* e8 F2 Z$ g妖城在线论坛514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; 2 L3 P0 G; F9 \
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表+ \- Z9 }8 ~7 z: k5 s! R6 s. R/ I0 k
lpd-errs,处理打印机故障信息的日志;
/ v% d! W5 O3 b5 P) X- W2 n5 n妖城在线论坛ftp日志,执行带-l选项的ftpd能够获得记录功能;
+ c( k% N U1 O* ^" g. c魔力私服,最新魔力宝贝私服技术交流httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート2 u& W5 u* }9 x4 y# _/ P
history日志,这个文件保存了用户最近输入命令的记录;
6 z9 f& s- w7 ?3 o# j: Q! Z魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表vold.log,记录使用外接媒介时遇到的错误记录。 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表& r) W0 a+ e7 P7 g( \4 `6 L* v
妖城在线论坛- `* k! M2 a/ z; {$ e; a- V
这些信息中都可以被他们进行修改,造成各种查证的障碍
/ k! H8 u- h/ ^1 g' M9 W妖城在线论坛我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
0 Y1 c$ z+ G; M% c7 R魔力私服,最新魔力宝贝私服技术交流bbs.mocwww.com- E7 M/ V& {# g: d- T* E
所以在这和那些准备开F和已经开F的人说: bbs.mocwww.com+ K: j7 O% |% m( ~
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F.
/ s- ?0 p9 B8 i) \" y& `, I$ K4 r3 i妖城在线论坛2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地. 妖城在线论坛" N5 S+ b# k4 m1 ?# r/ k5 I9 X' Z! @
3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. ( V% j5 d8 m+ Y! q
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。bbs.mocwww.com8 }" @& Y. U6 O+ K
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
3 S; o2 A7 t6 k7 V) y) x% X9 W+ ~妖城在线论坛—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート* q J1 k5 j' D! {" T% Q! |
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
, z9 d; F* o! k9 V7 d4 S6 y魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表妖城在线论坛4 F+ ?$ t/ m! i6 c9 e( h
中央喷泉