小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。
# E. I4 e$ O; j1 H, B1 L. |—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。
: c7 E8 ^3 H/ v0 K但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号bbs.mocwww.com9 k$ d* C1 \3 ], o r4 B5 d
h) \ A" Y! C% u经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????
* J. ?: a+ \# z! j5 u: W% k+ E# w魔力私服,最新魔力宝贝私服技术交流后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
9 C2 B% Z' [7 }& |8 m—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码.
( ~' }' J# o* L. T—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制魔力私服,最新魔力宝贝私服技术交流0 q; l( f' r# S" a, ~. ~
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. bbs.mocwww.com9 V T2 g( [( U
9 z: p6 ^1 w& g/ x! Z' H3 T魔力私服,最新魔力宝贝私服技术交流—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート- z! R$ s. `5 ^+ l- Y% I
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。 妖城在线论坛5 H) E) q! }+ A: h" s, J: [( u
acct 或 pacct,记录每个用户使用的命令记录; 妖城在线论坛! S* ^$ A+ k. d
access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器;
' ?) G# @' C* N—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートaculog,保存着你拨出去的MODEMS记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート% U# R1 D6 D" G( o, p* n
lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
( r4 j4 @/ h0 P+ y. n4 aloginlog,记录一些不正常的登陆记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート1 _# f4 I2 r* N0 c! Q, w& U
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表3 M% f& a" {! e/ N" E; N# W
security,记录一些使用UUCP系统企图进入限制范围的事例; bbs.mocwww.com/ Z+ f4 ?! l' C5 C
sulog,记录使用su命令的记录;
6 Q8 A$ t9 N2 b% `; E# q—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートutmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化;
# M- ?# _3 t* D/ }4 i |/ mutmpx,UTMP的扩展; bbs.mocwww.com( S5 V# Q9 K) P9 x) y) H
wtmp,记录用户登录和退出事件;
( E+ [( F8 A/ C- \) n$ j. g) p$ C9 n魔力私服,最新魔力宝贝私服技术交流syslog,最重要的日志文件,使用syslogd守护程序来获得。 bbs.mocwww.com* Z& n6 a; S' a+ R! l( ^9 a* I
日志信息: 魔力私服,最新魔力宝贝私服技术交流( k# s1 p9 n/ y
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表: l$ @" V) O% O3 F0 E4 A1 E
/dev/klog,一个从UNIX内核接受消息的设备;
X' Q+ p0 S3 [0 g- U514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; 魔力私服,最新魔力宝贝私服技术交流, f; y! l; ^ H# ]! i: j" F
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
8 j7 z3 h- C: Y8 R/ H. W妖城在线论坛lpd-errs,处理打印机故障信息的日志; 9 u3 C; T& I" K, B: S: j, {2 o3 ?
ftp日志,执行带-l选项的ftpd能够获得记录功能; 妖城在线论坛. h! _# z3 m+ l, s, L( m v
httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート8 J( C( T8 U, M8 S
history日志,这个文件保存了用户最近输入命令的记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート, L9 C: r d' A) q+ l
vold.log,记录使用外接媒介时遇到的错误记录。
4 {$ X e/ f( y- R# _$ n; c妖城在线论坛—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート5 n- ^* J* S4 L
这些信息中都可以被他们进行修改,造成各种查证的障碍魔力私服,最新魔力宝贝私服技术交流! w% ~. u) ~( r" f9 Q* d8 K( S
我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了魔力私服,最新魔力宝贝私服技术交流! x2 K( A3 L% h! {2 [! D
bbs.mocwww.com6 x! C2 }2 v# q+ M$ w. `8 L
所以在这和那些准备开F和已经开F的人说:
% n C/ c# i# J. V! C0 Q妖城在线论坛1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F. $ F) K3 C* e" G. k. o1 j& m% U
2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地. 妖城在线论坛' |9 f8 r3 W0 P- U( g2 a. \& V
3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失.
+ [) i! K; ~1 s0 o妖城在线论坛4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。
6 @+ n- u" w3 G# t+ o. J: b+ X魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。bbs.mocwww.com1 r; I% S( [1 m0 F7 c. u5 `
: C- E {# H$ h( S( s
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
2 c* ~$ s9 L5 C- ~. B+ u* `魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表
1 ]* J" @- D; b1 ~. j中央喷泉
