标题:
[讨论]
小服被入侵,日志文件中登陆信息被篡改
[打印本页]
作者:
中央喷泉
时间:
2008-12-29 09:17
标题:
小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。
" p# O2 l8 s/ I; z/ v t! ` L1 H
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。
' s& d+ h8 ?( {+ {2 A# e3 i
但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号
6 _) C$ C3 P0 b( [. x2 q% E; Z$ l8 \bbs.mocwww.com
魔力私服,最新魔力宝贝私服技术交流4 C# p! F& } J
经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????
& U4 @ _8 F' C, K6 E* R
后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
bbs.mocwww.com& j) d! D5 r8 W
通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码.
妖城在线论坛: h. r! @7 t+ @- f1 i9 A& e7 m
再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制
/ M D7 n p$ f8 C/ [+ d. _& e
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏.
" B! m/ ]2 \7 x; ]3 l
5 k5 L+ e/ B/ Obbs.mocwww.com
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/ u' }4 r$ f1 J4 T7 E6 H
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
魔力私服,最新魔力宝贝私服技术交流3 {- ~; f7 {0 J# D; H% ]* _
acct 或 pacct,记录每个用户使用的命令记录;
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表7 n0 T2 N, r( {2 ]; x. S$ }" ~
access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器;
bbs.mocwww.com$ V* X* ^4 Y* i4 L2 m
aculog,保存着你拨出去的MODEMS记录;
, I% I1 \1 V6 T3 I6 E$ T, W妖城在线论坛
lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
) l ^: I0 y# z+ ^3 z# H魔力私服,最新魔力宝贝私服技术交流
loginlog,记录一些不正常的登陆记录;
% J# {! U3 {0 G6 z3 t妖城在线论坛
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成;
bbs.mocwww.com' \1 M- I( I# e$ X* G) r% T
security,记录一些使用UUCP系统企图进入限制范围的事例;
: v8 ^6 B6 e$ S' W魔力私服,最新魔力宝贝私服技术交流
sulog,记录使用su命令的记录;
$ [3 i& }& M( ^6 y, U
utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化;
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表* n* n5 F6 Y0 o% @
utmpx,UTMP的扩展;
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート+ U; l7 c, `# ^: v% n- b. l* j
wtmp,记录用户登录和退出事件;
魔力私服,最新魔力宝贝私服技术交流1 h. @& L1 P; z( l2 x4 y
syslog,最重要的日志文件,使用syslogd守护程序来获得。
魔力私服,最新魔力宝贝私服技术交流" a4 J& Q( e6 y. f7 ~# r
日志信息:
, V: c( r y; A3 S, Q魔力私服,最新魔力宝贝私服技术交流
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/ i; I* l8 d4 Z4 Q. Z( W
/dev/klog,一个从UNIX内核接受消息的设备;
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート4 s" Z. y Z; B; S( Z5 L1 n
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息;
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表+ Q* P0 F9 M' y3 U; M
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表& u6 ?; [, c* d) O) k/ W
lpd-errs,处理打印机故障信息的日志;
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート1 }7 N+ H& y/ X9 i. q7 C# g: x
ftp日志,执行带-l选项的ftpd能够获得记录功能;
5 L J5 h S1 W7 c妖城在线论坛
httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
魔力私服,最新魔力宝贝私服技术交流' C( h- U0 b4 v" D: B1 M
history日志,这个文件保存了用户最近输入命令的记录;
( I, _; _' m- U魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表
vold.log,记录使用外接媒介时遇到的错误记录。
l6 m0 C. X3 J1 n—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート
, c' m5 l5 r1 }" s' r' r—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート
这些信息中都可以被他们进行修改,造成各种查证的障碍
/ L) t# @- W1 q& Z9 u! d—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート
我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
# Y. d: M4 P* V妖城在线论坛
( a1 a6 ~) I) \5 S妖城在线论坛
所以在这和那些准备开F和已经开F的人说:
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/ ~3 L. e' r% T" N
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F.
" e- v; b8 [; F6 o- d—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート
2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
妖城在线论坛+ g' Q m# g; f& N: H
3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失.
妖城在线论坛& c5 W" k9 o! N1 A' \7 Q" w f) X0 O
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。
魔力私服,最新魔力宝贝私服技术交流' u2 E+ A( H8 h" w& Q
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
bbs.mocwww.com+ Q+ l# n' q% E: H9 n4 n2 O
* {) S* B3 v4 y! n4 W魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート( ^7 _ s! ^+ L
- d: b6 K) S0 q
中央喷泉
作者:
valmin
时间:
2008-12-29 09:32
嗯...给准备开F的朋友一个好的建议了...
不过..偶不开F...
作者:
bag2000
时间:
2008-12-29 09:36
能管理级控制服务器当然可以将机器上纪录的相关信息删除,一般正规的还需要通过外部的安全措施,比如几级服务器技术,真想开F还是买个托管吧,至少人家还多个专业级的硬件防火墙!
作者:
yzg2007
时间:
2008-12-29 11:42
总有人喜欢攻击
作者:
yaoguai
时间:
2008-12-29 12:10
要学习的还很多
. D, R. Q7 N* N& M& k) F6 E$ @妖城在线论坛
要防范的也很多- -
6 j: Q5 H; ]- a妖城在线论坛
防不胜防啊
作者:
中央喷泉
时间:
2008-12-30 20:17
我一开始也以为是他们自己开始使用外挂
& R9 r2 Q; A+ p' Tbbs.mocwww.com
但是后来发现这些登录记录和IP是被修改伪造的
魔力私服,最新魔力宝贝私服技术交流( u# s( w- z4 c- T% t* P
& o1 e' ^; v; ?9 t# ?
差点就封错了好人了
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表9 l6 Z/ F2 v m& [9 a8 m
呵呵
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表0 g. s9 R; W, o& b- z
魔力私服,最新魔力宝贝私服技术交流! i% J Q2 D3 t* W3 K# O
进过修整,已经重新开F了
; t4 @7 {9 E& J+ L( m—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表7 a ]6 Q8 ?4 L
呵呵
作者:
网际孤客
时间:
2008-12-30 20:48
很大一部分原因是因为自身给人家开了门.
作者:
k|尛水
时间:
2008-12-30 22:35
不错的帖子 楼主加油
作者:
o小猪o
时间:
2008-12-31 23:40
防范防范 额 看来要多学习下
欢迎光临 妖城在线论坛 (http://bbs.mocwww.com/)
Powered by Discuz! 6.0.0
不过..偶不开F...
总有人喜欢攻击 要学习的还很多