小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。bbs.mocwww.com2 C( f7 r6 e0 O8 m! O; {; m
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。妖城在线论坛* u: @' `$ _) `8 b
但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート: J3 g7 c4 G( A: g
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表1 F- _7 b, U7 m
经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????
. f- a: M8 ^" N9 x, Q% Q! e魔力私服,最新魔力宝贝私服技术交流后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
8 B* K, s: |! o通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码. 妖城在线论坛. p+ R; t& ~! g% m& c2 m/ H
再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制
9 T$ O7 U9 s* [% X' r魔力私服,最新魔力宝贝私服技术交流通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. 妖城在线论坛3 f7 s; \; e. v' N3 F1 L. }
& @+ g- n, B; k" A5 e% E$ Z9 \—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート
+ k. v$ a/ _( C' a& c魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
1 t- A0 f: U- L- ~—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートacct 或 pacct,记录每个用户使用的命令记录; 魔力私服,最新魔力宝贝私服技术交流+ O+ |* y, ?0 _2 ]
access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; 魔力私服,最新魔力宝贝私服技术交流( E/ R( u1 Q9 [: t9 l, I
aculog,保存着你拨出去的MODEMS记录; 魔力私服,最新魔力宝贝私服技术交流+ S6 R' ?$ m6 }8 \& e% s
lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录; 魔力私服,最新魔力宝贝私服技术交流" s: o+ z N4 z$ r& g7 j
loginlog,记录一些不正常的登陆记录; 妖城在线论坛9 z7 m8 H4 [# E8 v- v
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成; bbs.mocwww.com' P# Q/ e. a' C" S8 [
security,记录一些使用UUCP系统企图进入限制范围的事例;
- ]9 c$ T$ g m% g# a: J3 p0 d—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートsulog,记录使用su命令的记录;
6 y# s! B* C) n6 w/ _魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート9 v0 S3 g7 h" N% ?' c) r% g
utmpx,UTMP的扩展; bbs.mocwww.com+ [2 i9 \; y5 h; C, b! {
wtmp,记录用户登录和退出事件; ! y L% a X+ j+ ^9 r, w4 f
syslog,最重要的日志文件,使用syslogd守护程序来获得。 妖城在线论坛% V9 Y5 U+ I/ S6 ~7 k% }
日志信息:
! s8 f1 m* p5 o3 M d B. @4 @妖城在线论坛/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
7 ? U1 F6 {) C( N' S—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/dev/klog,一个从UNIX内核接受消息的设备; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表( o; c- \ X( V0 C9 k8 d
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; 魔力私服,最新魔力宝贝私服技术交流) U4 Q( y0 R" D/ p; L/ Z
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机; 魔力私服,最新魔力宝贝私服技术交流# a& u2 e- Y* ^/ J; Y" s$ n) N8 ~
lpd-errs,处理打印机故障信息的日志;
2 P/ M$ z# a# Q( \# T魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表ftp日志,执行带-l选项的ftpd能够获得记录功能;
8 M4 h4 L7 Q1 L+ T7 bbbs.mocwww.comhttpd日志,HTTPD服务器在日志中记录每一个WEB访问记录; 魔力私服,最新魔力宝贝私服技术交流0 e" b' Y% {) s. G7 v
history日志,这个文件保存了用户最近输入命令的记录; bbs.mocwww.com& t4 e9 w; x; h6 u
vold.log,记录使用外接媒介时遇到的错误记录。 妖城在线论坛# E3 ] }/ U( R, u& d
bbs.mocwww.com+ E* }) F' e, F) u/ d* {( @
这些信息中都可以被他们进行修改,造成各种查证的障碍妖城在线论坛4 p- W. A& @3 L- F+ {
我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
v* U5 Y( N; v& N妖城在线论坛
% h$ f* W. p0 \3 O魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表所以在这和那些准备开F和已经开F的人说:
1 [0 I( W9 D& n魔力私服,最新魔力宝贝私服技术交流1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F. 1 `+ k# F( y' C; d
2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
1 H/ G1 E9 }4 Q9 W0 S妖城在线论坛3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失.
# m3 S: s9 W- G# cbbs.mocwww.com4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。魔力私服,最新魔力宝贝私服技术交流: B4 p; z1 S1 _/ U/ x$ U% M
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
8 K5 ~. w2 }) r' e7 B6 W: y& x妖城在线论坛8 V: G, B8 o' s6 Y0 A- Q( h5 k
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
6 B8 ?8 F$ c/ r- W1 V% ~' i魔力私服,最新魔力宝贝私服技术交流—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート4 O/ f9 }6 I8 p
中央喷泉
