小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。魔力私服,最新魔力宝贝私服技术交流* G) z& I3 [% k+ M( o$ b
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート& J- L9 P. W y, | g9 o
但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号妖城在线论坛, V' n" v5 F" d/ |. H
$ O# m4 b8 M6 r5 r1 r/ l妖城在线论坛经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????
' k W8 W# P0 P" t9 A; C# Ybbs.mocwww.com后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
2 e; i" \5 n7 {魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码.
) x& l; A, {6 ]6 P! C魔力私服,最新魔力宝贝私服技术交流再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制
9 t- f! p- l& I) N5 E8 R通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏.
* n" l. `4 N8 B2 q. D# S魔力私服,最新魔力宝贝私服技术交流bbs.mocwww.com1 H. T% E# T. j0 ~& D, b
* k, `1 m8 ]3 e. K) r/ i下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
0 O; C" J: M2 facct 或 pacct,记录每个用户使用的命令记录; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表, g( ]9 S! O+ M. p9 i- }$ q
access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表' U% O7 E5 l2 k2 V" V
aculog,保存着你拨出去的MODEMS记录;
: R8 h( z% h5 H$ S魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
6 u; Y) o; n- E4 r, G$ B# |魔力私服,最新魔力宝贝私服技术交流loginlog,记录一些不正常的登陆记录;
+ e1 _1 w0 k* `9 ^- y0 l4 e—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートmessages,记录输出到系统控制台的记录,另外的信息由syslog来生成; 妖城在线论坛/ u) C0 P4 F) C' t8 S/ e! h
security,记录一些使用UUCP系统企图进入限制范围的事例;
9 h2 g& B& i7 \' C3 j3 e! v7 L—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートsulog,记录使用su命令的记录;
7 F) J4 Z' @' T' l1 H; G. ?- S$ W魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; 魔力私服,最新魔力宝贝私服技术交流8 G4 v; s7 X3 N2 G
utmpx,UTMP的扩展;
8 U3 R& d4 w/ k0 Z1 B魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表wtmp,记录用户登录和退出事件; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート7 a. w% t) ]7 r0 d
syslog,最重要的日志文件,使用syslogd守护程序来获得。
% G/ Y2 k# g5 n$ c! o日志信息: 6 ^" P/ k- R# w2 V0 N+ ]
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
* @: V j, j9 K/ e" z' Q6 k魔力私服,最新魔力宝贝私服技术交流/dev/klog,一个从UNIX内核接受消息的设备;
- m5 m1 O+ T2 \% M3 Y6 Ubbs.mocwww.com514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; 妖城在线论坛, G9 x% v) n+ @0 c
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机; 3 K7 B* S8 h4 X [
lpd-errs,处理打印机故障信息的日志;
) H) T7 ?# Y1 g9 Z+ Q妖城在线论坛ftp日志,执行带-l选项的ftpd能够获得记录功能; 魔力私服,最新魔力宝贝私服技术交流" F; e2 Y2 ?7 a' O3 j
httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录; / _5 p1 r7 X# L% u2 c3 |0 H
history日志,这个文件保存了用户最近输入命令的记录; bbs.mocwww.com; v. ]/ o( ` O% K
vold.log,记录使用外接媒介时遇到的错误记录。
9 p% u f" P! }* l( J—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート! y! R' \" y) A% l
这些信息中都可以被他们进行修改,造成各种查证的障碍
6 \4 S1 I' Y0 C: V魔力私服,最新魔力宝贝私服技术交流我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了) O/ ?: |& g+ q# }6 z' h
. f3 G# n1 m8 T h2 t9 D所以在这和那些准备开F和已经开F的人说: 6 M& L$ T3 y' O. ~5 h0 o" c
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表8 h& u! m" Z W+ S
2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地. 魔力私服,最新魔力宝贝私服技术交流6 F: a( f, u( h9 r
3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. bbs.mocwww.com+ v$ }: ?9 t( G) V# ~8 i
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。
7 N' {3 Z; X$ _" l; [魔力私服,最新魔力宝贝私服技术交流5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。) g) d5 i4 A4 H% c4 G3 F8 u
1 b( x4 h% _2 U3 c- o7 G魔力私服,最新魔力宝贝私服技术交流最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
+ [4 a* e ~" ?
" l% I1 }% s7 n+ e* n( r& zbbs.mocwww.com中央喷泉
