妖城在线论坛 - Powered by Discuz! Board

标题: [讨论] 小服被入侵，日志文件中登陆信息被篡改 [打印本页]

作者: 中央喷泉 时间: 2008-12-29 09:17 标题: 小服被入侵，日志文件中登陆信息被篡改

我是一个小F的ADMIN，之前F被恶意攻击过几次，造成了一些玩家的流失。魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表. A' ?, ?0 t* a  u1 {/ [2 \- u; r
后来通过注册限制、登录器发布限制和加壳等措施，情况有所缓解。
但是前天上午，我查到一大批在凌晨使用外挂的账号，而个别用户的账号人物居然被删除了，几乎涵盖了所有主要成员？？？包括我自己的一个小号—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート& f- [3 m" L8 N0 Z% l- w. @; j

经过查证，日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址，并非别人所为，但是我自己的小号是我是经过操作的，IP等记录却显示为自己？？？？
后来和其他F的朋友交流才知道是被攻击了，不但获得了用户账户信息，还可以通过篡改日志文件等方法掩盖掉自己的信息，可能是
通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码.
再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏.

下面列举一些文件的功能，当然他们也根据入侵的系统不同而不同。妖城在线论坛, [- p3 x4 Z" u9 ~6 }2 M
acct 或 pacct，记录每个用户使用的命令记录； bbs.mocwww.com/ N2 J, _! l7 c1 f$ z. d) w6 W
access_log，主要使用来服务器运行了NCSA HTTPD，这个记录文件会有什么站点连接过你的服务器； —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート1 B* B/ X% g) a0 ]+ }( N: V( y+ C
aculog，保存着你拨出去的MODEMS记录；
lastlog，记录了用户最近的登陆记录和每个用户的最初目的地，有时是最后不成功登陆的记录； —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート' N0 f4 S3 L. l3 b) R( Z# j
loginlog，记录一些不正常的登陆记录；魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表5 w% |- k! S4 O* O9 @6 f- X0 R3 f
messages，记录输出到系统控制台的记录，另外的信息由syslog来生成；
security，记录一些使用UUCP系统企图进入限制范围的事例； —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート) {* u3 _8 \4 \7 G3 [6 Y
sulog，记录使用su命令的记录；
utmp，记录当前登录到系统中的所有用户，这个文件伴随着用户进入和离开系统而不断变化；
utmpx，UTMP的扩展； —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート& w: ]) ]5 n) ^+ Y2 x
wtmp，记录用户登录和退出事件；魔力私服,最新魔力宝贝私服技术交流/ Y# `6 d6 o+ {, z% H
syslog，最重要的日志文件，使用syslogd守护程序来获得。魔力私服,最新魔力宝贝私服技术交流+ R& @- @$ s1 p' z" e1 Z
日志信息： bbs.mocwww.com) I7 R  n6 p" [5 V& t- L( N* q
/dev/log，一个UNIX域套接字，接受在本地机器上运行的进程所产生的消息；
/dev/klog，一个从UNIX内核接受消息的设备；魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表: v3 j2 I3 F( W2 ?, h$ `! w( `- Z
514端口，一个INTERNET套接字，接受其他机器通过UDP产生的syslog消息；
Uucp，记录的UUCP的信息，可以被本地UUCP活动更新，也可有远程站点发起的动作修改，信息包括发出和接受的呼叫，发出的请求，发送者，发送时间和发送主机；
lpd-errs，处理打印机故障信息的日志；妖城在线论坛$ l' \! _0 S# ^$ }4 v: m& e
ftp日志，执行带-l选项的ftpd能够获得记录功能；魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表1 f  o, W* f1 c) w- I+ O) L
httpd日志，HTTPD服务器在日志中记录每一个WEB访问记录；魔力私服,最新魔力宝贝私服技术交流; d6 G/ B1 j2 S2 ^
history日志，这个文件保存了用户最近输入命令的记录； bbs.mocwww.com/ k4 g$ l5 c/ F2 F* o
vold.log，记录使用外接媒介时遇到的错误记录。妖城在线论坛$ S" g8 c, c) x9 k: ~
妖城在线论坛- {+ f& q6 y2 o6 H2 t
这些信息中都可以被他们进行修改，造成各种查证的障碍妖城在线论坛/ ^0 ^- f. e: j; Z8 w' i$ J9 [9 a
我现在没有什么办法能查到正真的攻击者IP，因为日志文件被修改破坏了—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート: L  n4 o- o6 [( h2 L- g2 d* }* J7 ^

所以在这和那些准备开F和已经开F的人说:
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F.
2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表; l3 X5 j+ f/ Q( ^% O
4.检查日志文件的完整性，不要完全依赖日志文件，造成不必要的损失。
5.出现不正常事件，比如丢号、恶意交易、外挂等，应该对事情进行调查后做出处理，不能仅仅依据登陆记录而处理玩家，否则被攻击者随意修改登陆日志，可能造成正常玩家成为替罪羔羊。
' V$ G2 b( K/ }$ r+ B
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。' H6 J& m* h7 W

中央喷泉

作者: valmin 时间: 2008-12-29 09:32

嗯...给准备开F的朋友一个好的建议了...

不过..偶不开F...

作者: bag2000 时间: 2008-12-29 09:36

能管理级控制服务器当然可以将机器上纪录的相关信息删除，一般正规的还需要通过外部的安全措施，比如几级服务器技术，真想开F还是买个托管吧，至少人家还多个专业级的硬件防火墙！

作者: yzg2007 时间: 2008-12-29 11:42

总有人喜欢攻击

作者: yaoguai 时间: 2008-12-29 12:10

要学习的还很多—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート) m3 o0 A: W% V+ a. H( b" S% Y
要防范的也很多- - 魔力私服,最新魔力宝贝私服技术交流& B7 Z! s$ u% v" j* O9 U
防不胜防啊

作者: 中央喷泉 时间: 2008-12-30 20:17

我一开始也以为是他们自己开始使用外挂魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表; E, m4 f M% s; G4 z
但是后来发现这些登录记录和IP是被修改伪造的

差点就封错了好人了bbs.mocwww.com' g& w0 B8 W! l2 U. n3 h
呵呵

进过修整，已经重新开F了
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート* ~6 m$ _* q; ?3 m5 ^7 ?( O
呵呵

作者: 网际孤客 时间: 2008-12-30 20:48

很大一部分原因是因为自身给人家开了门.

作者: ｋ|尛水 时间: 2008-12-30 22:35

不错的帖子楼主加油

作者: o小猪o 时间: 2008-12-31 23:40

防范防范额看来要多学习下

欢迎光临妖城在线论坛 (http://bbs.mocwww.com/)