小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。
' k- g7 Y: U1 d魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。
5 E+ S0 ]$ G' H) ]2 J妖城在线论坛但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号
2 ] U8 s$ E" x& n4 e
* O& s+ _' V {: P4 \3 ^ T; f魔力私服,最新魔力宝贝私服技术交流经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????
& R$ c r8 s) l5 A0 x; g9 l X—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
% @+ K6 N# n7 S: _6 hbbs.mocwww.com通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码.
7 T; V3 S+ X _; \! k4 a0 k—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制bbs.mocwww.com% E ? _7 P4 ]& _- s9 V& p
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏.
! L) k$ P( k/ b* U/ s+ d1 c+ ~1 @
! f2 S- c3 w0 T+ w* J$ _+ N下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
6 P; F' {. s% g7 G* n魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表acct 或 pacct,记录每个用户使用的命令记录; ; g: ~" R$ y2 O R5 H
access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; bbs.mocwww.com3 P0 J( o! y7 t, ~ G. J* S% Y" a) |
aculog,保存着你拨出去的MODEMS记录;
/ ?8 E/ M, p s+ Ilastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
7 G' i3 o) m/ [; ~ p/ ]: ?loginlog,记录一些不正常的登陆记录; 妖城在线论坛4 y6 t1 G/ L& ~3 Y, \* W
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成; 魔力私服,最新魔力宝贝私服技术交流8 K! F8 O; r0 W: E* p+ ]
security,记录一些使用UUCP系统企图进入限制范围的事例;
! H0 q3 Z! i' E' u9 S: p—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートsulog,记录使用su命令的记录; bbs.mocwww.com7 k" {% p1 X; j/ X3 q
utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化;
( h5 d6 v% X" ?* P/ X# }! b" y—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートutmpx,UTMP的扩展; 妖城在线论坛5 S4 [: ^3 r4 b/ I" X7 R& s7 W
wtmp,记录用户登录和退出事件;
* f/ O) k5 |8 p% Y8 e魔力私服,最新魔力宝贝私服技术交流syslog,最重要的日志文件,使用syslogd守护程序来获得。 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート) Y/ S; ~! H( H' h1 A
日志信息: 妖城在线论坛2 X2 |! X& U$ {1 C1 q
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息; 妖城在线论坛; G# W" f r6 R7 h) v1 p
/dev/klog,一个从UNIX内核接受消息的设备; 魔力私服,最新魔力宝贝私服技术交流+ ^' Z) x- q& }) {% `* t) K
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; 8 q; w4 r; D# k% I
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
9 W( I4 g) E6 W* jlpd-errs,处理打印机故障信息的日志; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート8 d/ J- b; a7 X$ W3 S8 c' a$ J
ftp日志,执行带-l选项的ftpd能够获得记录功能; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート) o" C5 z& e8 {
httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表% e2 }8 P9 N6 k% b' N$ y
history日志,这个文件保存了用户最近输入命令的记录; bbs.mocwww.com, N5 T% W- _- E$ j w5 s* {
vold.log,记录使用外接媒介时遇到的错误记录。 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート+ J2 a# s% S* [9 X
: P# F4 q2 H2 z. W z7 Wbbs.mocwww.com这些信息中都可以被他们进行修改,造成各种查证的障碍bbs.mocwww.com3 t0 F2 r' C3 _, O! @5 ?5 m
我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了3 k% [4 t" _$ M" n
$ ` \0 L, ~; [" L( Ibbs.mocwww.com所以在这和那些准备开F和已经开F的人说:
: U$ ]( A4 O* h, _0 B8 N魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F. 妖城在线论坛- E: A0 v( k/ i1 v0 r2 y
2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
% v. Y3 r+ \4 I" X6 R# Y/ _bbs.mocwww.com3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表. P1 X8 Z, `1 T4 F* J, m1 A& x
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。
4 Q r5 U2 Y# }0 e- b5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
& c4 e: P6 M% M, b魔力私服,最新魔力宝贝私服技术交流- ]2 C) l6 v0 R
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
5 B9 g" \- e$ b Q2 `" O3 X6 k
' ?; a& T, t# h2 b. Y- n9 D) _魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表中央喷泉
