小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。妖城在线论坛7 a9 I5 @ _# A6 ^, s
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。妖城在线论坛; z, d6 J4 h( y
但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号bbs.mocwww.com" z; A7 m& C Z X9 g
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート, D, o; u5 y; O+ G0 z
经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????
; h4 @3 N' J/ J$ ?3 ^妖城在线论坛后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
6 ]% `4 j8 a8 z! Z+ \5 X. d( Tbbs.mocwww.com通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码.
( k$ J! n6 y- y0 ?" R魔力私服,最新魔力宝贝私服技术交流再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制
7 ?0 g! \. t2 |& I! ?- r5 c妖城在线论坛通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. bbs.mocwww.com8 u0 i4 V0 V% G$ t* w" h7 F; l
7 x6 o: N* g. v3 D0 B—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表' l/ p2 i3 R/ a/ }, w! n" O7 W7 t
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
7 p) p0 Q4 H1 F; z3 j9 M0 wbbs.mocwww.comacct 或 pacct,记录每个用户使用的命令记录;
( Z, D5 n" [% V2 J; U8 r魔力私服,最新魔力宝贝私服技术交流access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート" ]0 r9 C4 x, y
aculog,保存着你拨出去的MODEMS记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート# Y5 u/ `. T5 \- q; l
lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表% q$ _* E3 u& z6 ?
loginlog,记录一些不正常的登陆记录; 妖城在线论坛9 O; F7 f' Q% |1 G' F" Z7 `, q+ R
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成; 妖城在线论坛$ K# Z+ J0 a$ o9 ]4 c
security,记录一些使用UUCP系统企图进入限制范围的事例; bbs.mocwww.com b$ H& _$ [" F" m- X
sulog,记录使用su命令的记录;
- w8 ]7 B5 q. ]5 |) a魔力私服,最新魔力宝贝私服技术交流utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; 妖城在线论坛- z( O. r9 d* e; K8 o2 Q$ I @+ L
utmpx,UTMP的扩展;
5 T) k+ A/ e: ?; U+ t) D7 @: K—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートwtmp,记录用户登录和退出事件;
* C$ z4 a5 @3 L9 O0 q: S- v魔力私服,最新魔力宝贝私服技术交流syslog,最重要的日志文件,使用syslogd守护程序来获得。 3 Z9 W, p/ o4 t2 F
日志信息: 妖城在线论坛5 [/ j2 A. K2 H4 p
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
! U! [8 I% X, W# S/dev/klog,一个从UNIX内核接受消息的设备; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート5 \/ r1 S4 A! _/ _! {
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; bbs.mocwww.com' U+ x5 \4 e0 r
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
i( X R) l3 Z# T8 mbbs.mocwww.comlpd-errs,处理打印机故障信息的日志;
5 N/ ^* {$ h/ s; L+ hbbs.mocwww.comftp日志,执行带-l选项的ftpd能够获得记录功能; ; S! Q7 c, L% _3 Y0 i4 v/ U
httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
' [$ d; h9 x5 `2 p9 a妖城在线论坛history日志,这个文件保存了用户最近输入命令的记录;
7 Q) ?6 Q# y4 xbbs.mocwww.comvold.log,记录使用外接媒介时遇到的错误记录。 8 }/ {9 a+ a ?2 d
2 B1 _3 F, m/ h5 N. v$ a
这些信息中都可以被他们进行修改,造成各种查证的障碍0 v9 |! Q9 w# H, j* F0 ?5 H
我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
% y( I/ R8 S+ @7 b1 y0 ybbs.mocwww.com
" }8 }, F& T" d9 e# U5 `/ I- `& O所以在这和那些准备开F和已经开F的人说: 妖城在线论坛7 d) m% h0 ?. H5 w! K
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F.
6 }; Z, w- t/ z% J1 D2 Pbbs.mocwww.com2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地. —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート5 A( t% I$ V( {; u, f. Z* f
3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート" D# ~7 [4 e9 ?# n. I8 Q
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。
8 ~+ m8 s- z& k' N3 j( P—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。bbs.mocwww.com7 N7 w& _) n* R0 X& a7 B, R7 P
0 ~7 D( p% m4 J* r+ ibbs.mocwww.com最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
3 \+ X' k- f6 u A$ A1 a' l0 ` D魔力私服,最新魔力宝贝私服技术交流
- H( n ^7 h+ G! e& m& ~" i2 T. s魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表中央喷泉
