Board logo

标题: [讨论] 小服被入侵,日志文件中登陆信息被篡改 [打印本页]

作者: 中央喷泉    时间: 2008-12-29 09:17     标题: 小服被入侵,日志文件中登陆信息被篡改

我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。妖城在线论坛  ], ^1 Q6 _8 \+ P
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。魔力私服,最新魔力宝贝私服技术交流  l( Z) w" L2 g$ s. \
但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号
; F( y; Y& M( X5 b) g' H: r魔力私服,最新魔力宝贝私服技术交流
  N  Z+ ]: J- c- t; c, ]—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????
, m: g0 g& L0 }# ]: t0 q5 k) v妖城在线论坛后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是魔力私服,最新魔力宝贝私服技术交流. h+ I3 A! m4 ?  k
通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码. 妖城在线论坛6 V* l8 R2 g. w2 f+ w
再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制
& A  `: o6 l% w6 }通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. ! U8 N. B2 O+ A
魔力私服,最新魔力宝贝私服技术交流, Y- Q: F9 o# u" u6 r
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート, m9 g9 r% E1 A$ g
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
' s4 I1 [9 R+ u5 e. gbbs.mocwww.comacct 或 pacct,记录每个用户使用的命令记录;
0 b2 O% ]& M( Y魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器;
* {0 b7 ]4 m. x1 Z4 K" v9 n7 w魔力私服,最新魔力宝贝私服技术交流aculog,保存着你拨出去的MODEMS记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート* A+ L% A( v& ~! b# K
lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート9 o. R0 M$ c' F$ I
loginlog,记录一些不正常的登陆记录;
9 c2 w' d! \' x; @, @1 }bbs.mocwww.commessages,记录输出到系统控制台的记录,另外的信息由syslog来生成; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表. }' W" z! s- l) z6 C( J& U
security,记录一些使用UUCP系统企图进入限制范围的事例; ; |, w0 c% q" U9 c  y7 K3 }
sulog,记录使用su命令的记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート: R) G- H. \$ Z0 b; t# E! {
utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化;
8 U( G& I% e+ F$ k8 vbbs.mocwww.comutmpx,UTMP的扩展; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表5 |% o; |' ]' F( y' d) ?
wtmp,记录用户登录和退出事件;
1 c+ J2 W# V& q. V妖城在线论坛syslog,最重要的日志文件,使用syslogd守护程序来获得。 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表% e4 s# v/ d8 m
日志信息:
3 E+ B, z7 Y# U( Q6 w- A—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
8 a" w5 M( r2 _2 L( X" C. m+ e! J& p魔力私服,最新魔力宝贝私服技术交流/dev/klog,一个从UNIX内核接受消息的设备;
3 _' R- O& f8 w( C' H—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; 妖城在线论坛! L/ w$ E/ m1 k2 y
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
7 B/ R& i) g( b1 [1 ^) r6 ?魔力私服,最新魔力宝贝私服技术交流lpd-errs,处理打印机故障信息的日志; ; {5 c) t- m& ~6 J( a6 J
ftp日志,执行带-l选项的ftpd能够获得记录功能;
/ i- H( Z- x5 k8 b6 pbbs.mocwww.comhttpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
0 j( ]% N7 n2 }8 X% z4 m+ F4 @魔力私服,最新魔力宝贝私服技术交流history日志,这个文件保存了用户最近输入命令的记录; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表* i" }5 {5 V, o4 {* u. z6 f9 w
vold.log,记录使用外接媒介时遇到的错误记录。
- x4 k* ^( n8 x6 |# d妖城在线论坛
& m# ]: ~3 B/ d! V( I妖城在线论坛这些信息中都可以被他们进行修改,造成各种查证的障碍
% t; ^+ D+ r& u4 m2 y' W; e' s" y我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
2 F9 O: L# ]  y& e魔力私服,最新魔力宝贝私服技术交流
" b6 E$ |" d* J% k6 |( Y# h魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表所以在这和那些准备开F和已经开F的人说:
4 c/ _+ s8 I6 H- v. A2 o) g7 p魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F. bbs.mocwww.com* U9 ^5 `% }6 [+ o% K3 ?; c" l
2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
+ R, q% F2 u' ]. j" g—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. 魔力私服,最新魔力宝贝私服技术交流/ m: M; T+ T( Q: H9 _0 t0 S3 N  x
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表' \+ R. ~( c: @
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
' R' f5 \7 u* j% n: a" f魔力私服,最新魔力宝贝私服技术交流
0 H! H. n. \/ y+ C, a0 [—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
2 c" `0 @  _9 ]bbs.mocwww.com
; D6 M9 g0 ]& b- Z4 ^- e中央喷泉
作者: valmin    时间: 2008-12-29 09:32

嗯...给准备开F的朋友一个好的建议了... 不过..偶不开F...
作者: bag2000    时间: 2008-12-29 09:36

能管理级控制服务器当然可以将机器上纪录的相关信息删除,一般正规的还需要通过外部的安全措施,比如几级服务器技术,真想开F还是买个托管吧,至少人家还多个专业级的硬件防火墙!
作者: yzg2007    时间: 2008-12-29 11:42

    总有人喜欢攻击
作者: yaoguai    时间: 2008-12-29 12:10

要学习的还很多
' q4 ]/ J  P7 Q% E% p魔力私服,最新魔力宝贝私服技术交流要防范的也很多- -
" p9 x6 M& P3 F5 Z8 r防不胜防啊
作者: 中央喷泉    时间: 2008-12-30 20:17

我一开始也以为是他们自己开始使用外挂* ]& C- n  i$ m
但是后来发现这些登录记录和IP是被修改伪造的7 I* w! U6 {/ B# ~% h2 |" c

" ~: G, S7 _6 P' O( s2 ?bbs.mocwww.com差点就封错了好人了
$ X, m' d# j+ x  a—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート呵呵魔力私服,最新魔力宝贝私服技术交流) l9 u# H3 e; {3 {

, K% H  D4 f( U. U6 N8 X# }妖城在线论坛进过修整,已经重新开F了魔力私服,最新魔力宝贝私服技术交流' {5 X: A3 B& q: }
魔力私服,最新魔力宝贝私服技术交流1 b  d, o7 m, h, H
呵呵
作者: 网际孤客    时间: 2008-12-30 20:48

很大一部分原因是因为自身给人家开了门.
作者: k|尛水    时间: 2008-12-30 22:35

不错的帖子 楼主加油
作者: o小猪o    时间: 2008-12-31 23:40

防范防范 额 看来要多学习下




欢迎光临 妖城在线论坛 (http://bbs.mocwww.com/) Powered by Discuz! 6.0.0