小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。+ g9 D( a& ]1 {& n* l
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。
5 w8 l9 g2 Q% n/ |( A魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート5 E1 c o( f6 |9 r/ a
3 C+ ]8 K0 j+ m9 g9 `" d—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????
6 I `8 {; f$ N0 Y7 j: l) D* Y后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
( [- Z ]6 y, }0 Z4 V妖城在线论坛通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表' R! ^3 t4 v+ \' m
再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制
) T0 S% e. z9 }9 @& J3 I# jbbs.mocwww.com通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏.
7 I( j- l U( x9 [魔力私服,最新魔力宝贝私服技术交流
9 t0 f% L1 _: b, m3 u魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表妖城在线论坛! I' |; c( P) y2 Q( H
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
6 }0 f) z7 Y& L1 t6 \5 X; w% n5 `—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートacct 或 pacct,记录每个用户使用的命令记录;
% }! I% b$ t/ Vaccess_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; 妖城在线论坛% i& U: x( k* P% S' W4 b0 |
aculog,保存着你拨出去的MODEMS记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート% P) _6 }7 \1 H: q
lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
, t+ }* c8 W+ E, h- m% Jloginlog,记录一些不正常的登陆记录; 魔力私服,最新魔力宝贝私服技术交流* E# y" q2 A. }" E) s; l
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成;
% T% t6 b% o# T5 D! S妖城在线论坛security,记录一些使用UUCP系统企图进入限制范围的事例;
7 | A& G. t1 h0 E9 Z1 l—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートsulog,记录使用su命令的记录;
5 t9 {7 {' `" B: R, `: B+ Sbbs.mocwww.comutmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化;
0 B) I ]) X9 M5 R6 I/ qbbs.mocwww.comutmpx,UTMP的扩展;
& @" t& h6 T; @9 T8 {! A魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表wtmp,记录用户登录和退出事件;
! K: `+ U& z; y# v5 qbbs.mocwww.comsyslog,最重要的日志文件,使用syslogd守护程序来获得。
7 b6 `% v" k7 ^* v8 y( y1 B, D3 L日志信息:
! J4 T9 m: w/ d3 a$ R0 r7 ^bbs.mocwww.com/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
3 l0 Z+ Z) Z. Q' ]' r魔力私服,最新魔力宝贝私服技术交流/dev/klog,一个从UNIX内核接受消息的设备; 妖城在线论坛6 a, [1 O5 E Q. x( @: b) X+ w
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート7 _: D6 N- l0 r: @
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
2 x$ {" i" t' ]! a' P' g4 x# Z魔力私服,最新魔力宝贝私服技术交流lpd-errs,处理打印机故障信息的日志; bbs.mocwww.com: D) S! ^2 o; D% X" s3 N# ^
ftp日志,执行带-l选项的ftpd能够获得记录功能; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート3 R' _1 I( L3 p$ d4 g2 ^' w
httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表3 m1 e. q* k' G
history日志,这个文件保存了用户最近输入命令的记录; 魔力私服,最新魔力宝贝私服技术交流' w t2 R. Z- W2 B( B0 c7 a! d0 r2 _
vold.log,记录使用外接媒介时遇到的错误记录。 bbs.mocwww.com1 A7 G, j1 B& I" Y8 a
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表, ^$ b; G' r, ~5 a v5 }% g
这些信息中都可以被他们进行修改,造成各种查证的障碍
* M$ {; Q" y7 n/ C) N+ M. I我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了 t* \( O: A$ v$ Q6 A
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート+ i$ Y# M7 G4 a6 V) ~
所以在这和那些准备开F和已经开F的人说:
8 E2 c9 [0 v. j% C4 N" Z1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表. O2 L% g3 T5 M( W' i) l M8 m0 J
2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
. j4 k* y' u* N; a ~( P魔力私服,最新魔力宝贝私服技术交流3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失.
9 \/ ~; h k6 T+ g—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。
0 N* ^' O6 k0 L/ h7 a! F, }' q1 }—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
# J6 c( @, t' R& |$ J9 |. l魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表
4 p+ Y2 ? Q+ _& x, @魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。bbs.mocwww.com% I' N6 h/ L* ~& ?) k
魔力私服,最新魔力宝贝私服技术交流0 A7 V$ | h8 A% ~
中央喷泉
