小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。
8 F d& \3 c0 Mbbs.mocwww.com后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。
" P4 Z2 P6 ?/ i魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号- [/ R* L) ?: F0 A, ]6 S1 A6 J! |
2 ?' d/ i4 h% Z4 u, Y x
经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????
0 W6 u. K/ ~' o/ Zbbs.mocwww.com后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是妖城在线论坛& i; n- ~7 X+ \6 s
通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码. 魔力私服,最新魔力宝贝私服技术交流% \ x# G! E$ R8 B" T
再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制魔力私服,最新魔力宝贝私服技术交流( T5 a; c" A9 \ F/ V x
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏.
5 A, o4 x1 U& Z; i( \—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート- R" ^% q8 A9 ]1 L7 |3 M
( _) A+ i, g7 }) f i k6 U: L—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
$ n& T; W' G. P% B- Z5 D—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートacct 或 pacct,记录每个用户使用的命令记录;
& q% m: K" ]. `* p g9 R" ybbs.mocwww.comaccess_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; ) K! e! q* q6 ?% R0 s: j
aculog,保存着你拨出去的MODEMS记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート3 b6 ?$ c* g: A
lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
9 o" s) r; S4 C' s" A妖城在线论坛loginlog,记录一些不正常的登陆记录;
4 x6 {* ]9 g; ]/ B2 @魔力私服,最新魔力宝贝私服技术交流messages,记录输出到系统控制台的记录,另外的信息由syslog来生成; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表1 ]2 i7 u0 b$ i
security,记录一些使用UUCP系统企图进入限制范围的事例; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート) N3 ~7 S9 C7 l+ m
sulog,记录使用su命令的记录;
; i8 e X" \; j! f9 k& Ibbs.mocwww.comutmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化;
7 W& t" H$ M% ~* l$ C4 abbs.mocwww.comutmpx,UTMP的扩展;
6 P4 J. K) M3 K( S魔力私服,最新魔力宝贝私服技术交流wtmp,记录用户登录和退出事件; bbs.mocwww.com$ H3 l( P- {) ~9 T
syslog,最重要的日志文件,使用syslogd守护程序来获得。 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表, n' d: K7 o4 N
日志信息: —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート! y( @7 {8 T+ |4 C5 M/ }$ l
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息; 妖城在线论坛3 E- ?0 r5 }: y3 N& J
/dev/klog,一个从UNIX内核接受消息的设备; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表/ d4 `7 {& c0 D) ~" I: o
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; ) ?& S0 I& q3 Q, l6 O' y6 s
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
( o. U+ F) J X) y—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートlpd-errs,处理打印机故障信息的日志; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表! D) b/ h L: R+ _0 G8 L
ftp日志,执行带-l选项的ftpd能够获得记录功能;
' t4 T/ x- T/ `7 a魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录; 魔力私服,最新魔力宝贝私服技术交流7 g. O7 P9 B; [7 ` {5 C/ k+ u6 s
history日志,这个文件保存了用户最近输入命令的记录; 魔力私服,最新魔力宝贝私服技术交流9 s) \! D: K& |9 h
vold.log,记录使用外接媒介时遇到的错误记录。 妖城在线论坛3 p3 r7 @1 b! m2 D5 ^
) l' L+ ^0 U) u妖城在线论坛这些信息中都可以被他们进行修改,造成各种查证的障碍
5 ?. |2 a6 a5 @4 Ybbs.mocwww.com我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート7 I5 v& m& `2 k' _
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表8 C. ~, T/ e2 m6 R5 z7 l2 |; d
所以在这和那些准备开F和已经开F的人说: 妖城在线论坛( y) ?0 O. U8 D. j. w4 x
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F.
9 P% r7 r+ {( l2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表5 r0 h3 ^" j( Z% p
3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失.
/ _$ r, A7 c& obbs.mocwww.com4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。妖城在线论坛/ J2 H6 n" o5 W+ A1 Y3 y. o) t
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
3 m. h; Y9 U7 X# `. D! L魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート$ v. i" N- {7 _
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
& A3 c1 x! k: | V( l r' @魔力私服,最新魔力宝贝私服技术交流
6 \0 k5 p( |* R& c5 r# V6 s4 k魔力私服,最新魔力宝贝私服技术交流中央喷泉
