小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表1 A* T5 ?4 K3 o: M; w- {& v; d' l
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。bbs.mocwww.com3 ]. y1 F# t* z
但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表) `1 J; P! u" N+ T6 h
" [9 B: ?$ ?, Y( \9 w+ z7 m3 m2 R d经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート8 c" q( g$ J$ s6 A: Y3 q
后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
9 M+ c# ?5 b- V& J9 |# _( C* [. d: H0 {—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码.
- c- \+ Z! k6 b: Y3 E6 y ]+ z再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制
! Z4 x# Q0 j* `1 v4 _6 c0 vbbs.mocwww.com通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏.
7 \4 g/ ]. U5 W1 Y# K) `魔力私服,最新魔力宝贝私服技术交流
6 x9 m1 K D8 v% d0 Q4 D妖城在线论坛妖城在线论坛7 v( Z2 h& {" ^& S- O3 k
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表; m0 H- h& x, \9 T$ i
acct 或 pacct,记录每个用户使用的命令记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート# C9 x! h$ l% p) F# Y; z) t, l
access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器;
, O' t1 h/ Y$ b魔力私服,最新魔力宝贝私服技术交流aculog,保存着你拨出去的MODEMS记录; 魔力私服,最新魔力宝贝私服技术交流- x3 `% N, m0 M$ r" n* X( \
lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录; bbs.mocwww.com# |* V& O9 V. C2 w k* [8 K
loginlog,记录一些不正常的登陆记录; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表( u! p d7 Y: J7 G% H. X. \$ S
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成; 魔力私服,最新魔力宝贝私服技术交流5 A# S1 p) b, ^4 v7 J
security,记录一些使用UUCP系统企图进入限制范围的事例;
/ U8 E# g F) }8 i, obbs.mocwww.comsulog,记录使用su命令的记录; 1 T6 f! c* }4 ?6 V
utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表# O5 r/ u c/ i, \, j: Z; T; a; z
utmpx,UTMP的扩展; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表7 a; N& G" O- R& M, W& d# F
wtmp,记录用户登录和退出事件;
! A+ l' F7 \7 L+ D) C5 m; E—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートsyslog,最重要的日志文件,使用syslogd守护程序来获得。 bbs.mocwww.com! @1 B H4 f6 v
日志信息:
+ k0 h4 \& m0 H+ L$ c—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
; r8 Z6 s b1 g, ]魔力私服,最新魔力宝贝私服技术交流/dev/klog,一个从UNIX内核接受消息的设备;
! f1 w- ~* v8 a5 A6 F$ zbbs.mocwww.com514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; 魔力私服,最新魔力宝贝私服技术交流. [6 F) g9 k5 ~" d) U3 g
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机; 8 [3 G+ J5 z* T: ]0 N5 i& R0 g1 D
lpd-errs,处理打印机故障信息的日志; bbs.mocwww.com, ^ }+ [, B* J+ x, r E4 z
ftp日志,执行带-l选项的ftpd能够获得记录功能;
4 \( _" |7 h) `—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートhttpd日志,HTTPD服务器在日志中记录每一个WEB访问记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート* y" p. b# P/ }3 U4 J2 E9 g7 c8 H9 A
history日志,这个文件保存了用户最近输入命令的记录; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表: q. l" F1 {3 i& p
vold.log,记录使用外接媒介时遇到的错误记录。 魔力私服,最新魔力宝贝私服技术交流 x/ R0 p7 ?* y) f4 [# f
妖城在线论坛0 D# B" r! B. p5 A) i$ w d: v- J% I
这些信息中都可以被他们进行修改,造成各种查证的障碍妖城在线论坛) L" z/ v- f4 r* L" |- q
我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了 s" W4 i+ t* d# t% v
5 `1 M0 E5 ? l! D( `1 A所以在这和那些准备开F和已经开F的人说:
' |2 ^( d7 T# ?$ a) X; c. O* b魔力私服,最新魔力宝贝私服技术交流1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F. 魔力私服,最新魔力宝贝私服技术交流9 B2 `9 X( [8 O4 n$ p$ |* e# e/ v) n
2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
6 F) G5 y! j& N! [* `/ C; o3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表; c8 N7 n8 }3 W3 w0 Z9 M
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。
0 [0 ^+ r' D- R妖城在线论坛5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
( t9 }9 I/ ^. i魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表妖城在线论坛6 ]; K$ e9 D; p* x4 [; y4 {
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
8 T; o$ p2 H wbbs.mocwww.com
, C3 `# v* d" c+ O" A—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート中央喷泉
