小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。妖城在线论坛2 ]2 b, j0 i& p
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。
) n8 h8 |+ N' J魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表$ |/ k4 b ?0 o1 h
( g" j5 c2 z$ _" y) {妖城在线论坛经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????
B% a8 z( j0 U, q; F9 s" v" ?魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
, W% _" H3 z" q0 i魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码.
- o6 ^# V4 E; D' h& O7 Q$ I; g妖城在线论坛再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート7 \; c2 {3 R8 |' e6 N2 f
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏.
& u3 j5 o! x% ?( t+ E
7 C/ U5 |4 n* d5 W—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート
& ^2 x; U$ d6 f1 L0 o. [下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
0 h, F5 f, k# j5 {- M8 q8 p& }acct 或 pacct,记录每个用户使用的命令记录;
2 r) Z$ _* o' W; M8 N b8 r I魔力私服,最新魔力宝贝私服技术交流access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート3 c4 z# R1 O& C
aculog,保存着你拨出去的MODEMS记录;
5 U8 P" H2 K) r% k3 g' A—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートlastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
+ o8 k4 L% l; @魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表loginlog,记录一些不正常的登陆记录;
# {/ L4 E0 R' t9 G& ]# [! N% f, V—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートmessages,记录输出到系统控制台的记录,另外的信息由syslog来生成;
8 j- \( ]1 `# Q% }' y5 M5 u—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートsecurity,记录一些使用UUCP系统企图进入限制范围的事例;
* n j* \& V# c5 U/ ]; Y8 \sulog,记录使用su命令的记录;
8 U& _0 a6 E9 C } l% S+ j0 G: o. _魔力私服,最新魔力宝贝私服技术交流utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; 魔力私服,最新魔力宝贝私服技术交流 X. i1 }( ]# M' P6 S$ V4 u/ b
utmpx,UTMP的扩展;
4 e/ J4 x: { t& j—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートwtmp,记录用户登录和退出事件; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート6 I& U7 R3 X, K% z0 B; c% h& L
syslog,最重要的日志文件,使用syslogd守护程序来获得。 妖城在线论坛. J4 \/ s6 j7 Z A7 d6 N t* K
日志信息:
9 v H; R% _$ p6 p3 S% U( l妖城在线论坛/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
0 K% x5 Y# C0 a—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/dev/klog,一个从UNIX内核接受消息的设备; 妖城在线论坛% c) e6 D- A! A
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息;
9 Q2 p4 s$ a2 qUucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机; bbs.mocwww.com: D+ r# t4 w; K" s6 o" n
lpd-errs,处理打印机故障信息的日志; 魔力私服,最新魔力宝贝私服技术交流5 r; y" O/ B% @9 C- a
ftp日志,执行带-l选项的ftpd能够获得记录功能;
) l+ O0 s( W( ]* F/ D: L/ I3 y# Vbbs.mocwww.comhttpd日志,HTTPD服务器在日志中记录每一个WEB访问记录; 魔力私服,最新魔力宝贝私服技术交流' h. c2 N1 z; x' I* l8 b) @8 D
history日志,这个文件保存了用户最近输入命令的记录;
2 T+ P6 i5 I, u, U$ H" d魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表vold.log,记录使用外接媒介时遇到的错误记录。
* L& V7 i- b2 H% _% W% B7 t0 Pbbs.mocwww.combbs.mocwww.com* N/ b; V4 J6 K5 e# S/ F
这些信息中都可以被他们进行修改,造成各种查证的障碍
% F" n4 G c; J% a- h5 U }bbs.mocwww.com我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
9 f5 ]4 O: |8 @5 Z5 P2 N妖城在线论坛魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表; P! G, ?# z$ ?, L8 Z
所以在这和那些准备开F和已经开F的人说: bbs.mocwww.com2 k0 @7 p! N/ s8 b8 [8 b
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F.
2 Z: i/ Q6 S: D% y- M' j3 ubbs.mocwww.com2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
9 Q0 q. ^" ?3 r& y魔力私服,最新魔力宝贝私服技术交流3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失.
9 \" b2 J j/ L. x/ {( _魔力私服,最新魔力宝贝私服技术交流4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。
2 s) S, C( X+ L- s魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
) V! t2 F- s& P' g/ R6 x8 ]* X; w—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート妖城在线论坛+ P3 d# p3 b" ~5 v) ~5 ~
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
2 G2 [9 h1 X0 D& c
. g, M8 s/ G3 k" H魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表中央喷泉
