小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。
, R: R# q; `! W( e* A# t; J后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。妖城在线论坛8 f! I# ^ {- ^! Y7 l1 ^' u
但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号
; J2 [& C7 v! I& |# Q" q9 z _—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート9 L5 b e7 e3 o; d
经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????
$ X1 y& X7 o! d0 `% K" @魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
7 d: k5 N7 O! R4 g+ M4 @" O' b, ~魔力私服,最新魔力宝贝私服技术交流通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码.
8 w* v \& _* S. z魔力私服,最新魔力宝贝私服技术交流再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制bbs.mocwww.com0 I* W' i1 e2 P1 `3 G9 g
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏.
; k- H! v0 T' C* B. H—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート3 ` n- r4 Y+ p4 W$ {+ B; C0 H
bbs.mocwww.com. T& V7 L) x2 j
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
6 a7 _5 k8 O" |" ?妖城在线论坛acct 或 pacct,记录每个用户使用的命令记录;
% v# [4 ~. _/ k* w" k妖城在线论坛access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器;
3 g( t' W0 c( C( S9 l" `9 ~bbs.mocwww.comaculog,保存着你拨出去的MODEMS记录;
4 @2 L( n% E" h/ \魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
0 S& X7 I$ _: J$ E, y) Z: b魔力私服,最新魔力宝贝私服技术交流loginlog,记录一些不正常的登陆记录;
! p" }) h5 u# V {; h& ?妖城在线论坛messages,记录输出到系统控制台的记录,另外的信息由syslog来生成; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート* x. Y" D, F7 l; p5 [. S; z
security,记录一些使用UUCP系统企图进入限制范围的事例;
7 b6 d0 S' @$ S! i' N. f1 Z2 Xsulog,记录使用su命令的记录;
9 h: P& W" x+ ?! ]utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; 魔力私服,最新魔力宝贝私服技术交流& h' h6 y: O$ `7 k# x6 p4 b
utmpx,UTMP的扩展;
) [ x7 B1 m! H( d. x3 [9 h1 d: fbbs.mocwww.comwtmp,记录用户登录和退出事件; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表- V/ d5 b7 z' x
syslog,最重要的日志文件,使用syslogd守护程序来获得。
8 s$ | T2 }8 A2 v/ F/ }, U魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表日志信息:
" J' q+ u0 a. R—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息; " x' L4 f% }- j$ p
/dev/klog,一个从UNIX内核接受消息的设备;
* s8 V& e2 ]) I. j8 x514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息;
" }5 d# q8 v1 J% O妖城在线论坛Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
! y# r" Q8 R: a4 J魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表lpd-errs,处理打印机故障信息的日志;
" l1 y. P; j5 f7 {8 C; [& X3 T. f6 |ftp日志,执行带-l选项的ftpd能够获得记录功能;
5 ]* c1 w1 i) ]" y, r7 X1 j魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
! [: J6 G t9 O& Y/ X0 l妖城在线论坛history日志,这个文件保存了用户最近输入命令的记录; & Q7 k, P3 ^2 Q5 m: ~# `% c
vold.log,记录使用外接媒介时遇到的错误记录。
: c' l$ p( c" m魔力私服,最新魔力宝贝私服技术交流
0 p% G5 U2 b/ v& b3 ^( R妖城在线论坛这些信息中都可以被他们进行修改,造成各种查证的障碍bbs.mocwww.com. a$ B, [, I9 J1 \% m0 ~& E& ]
我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
2 t8 I3 X9 U, \6 V5 c+ n1 [7 N) t魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表
$ x7 s1 x; K. i% P9 C所以在这和那些准备开F和已经开F的人说: 魔力私服,最新魔力宝贝私服技术交流 J/ z+ G$ T6 n( b
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F.
: ^7 d; n' x" k6 O, e—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
( n( C5 K! T% f, H. E- w魔力私服,最新魔力宝贝私服技术交流3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失.
0 S3 a* Q# x; U# r9 M魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。
S. b' o/ N9 A2 K5 @8 e魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。bbs.mocwww.com& H& G. |0 `7 n: B' ?
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート8 T3 [' b$ x8 Y% x- h/ ^
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。/ D) f& M/ V# {* K$ f/ r. }
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表& c( h- o- ~0 f* [
中央喷泉
