小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。
# d3 L5 O; v2 u% e. U魔力私服,最新魔力宝贝私服技术交流后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。
. A0 k! ]# X7 D$ X3 V—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号
& W$ b# @8 A" S! n+ v" A4 k妖城在线论坛
2 e5 R G5 X! k; @3 z3 P& }魔力私服,最新魔力宝贝私服技术交流经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????
' p- |: L2 e6 {* j: p- X魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是bbs.mocwww.com# y; a3 k1 K, n# I K- b' t0 T
通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码. 魔力私服,最新魔力宝贝私服技术交流" V0 c/ V1 d) \& H. F9 X( {
再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制妖城在线论坛 e: w* ~ P# Y* w5 L
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. bbs.mocwww.com+ B0 J# l1 U4 q$ D' P
妖城在线论坛# x9 a g3 u) @9 x2 A' y
妖城在线论坛- _. h/ S" x. R4 W& r1 ~; s' D
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
2 \# ]" f$ O, M7 \4 D p/ f1 Nacct 或 pacct,记录每个用户使用的命令记录;
! Q/ q- d4 A1 |; L$ l3 V& J2 c魔力私服,最新魔力宝贝私服技术交流access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; 妖城在线论坛! _2 }. C2 }8 ?& k4 \0 z
aculog,保存着你拨出去的MODEMS记录;
8 w, U2 W3 {: `5 U妖城在线论坛lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录; 妖城在线论坛' O# D! @) u$ s1 t" {
loginlog,记录一些不正常的登陆记录; 妖城在线论坛; u/ C7 X; A* n7 d% Q6 P! q! r
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成; - z+ q! d5 h; Q" s
security,记录一些使用UUCP系统企图进入限制范围的事例; 妖城在线论坛$ {. Q& y1 ?* Y' B: Q) O' Z# U0 R/ R
sulog,记录使用su命令的记录;
h, ^8 S$ n, O" zutmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; 魔力私服,最新魔力宝贝私服技术交流! u9 i# Z; B6 T" N
utmpx,UTMP的扩展;
: C2 c! {/ l O( w& n+ H3 e—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートwtmp,记录用户登录和退出事件;
- J# V$ X. U s7 d( ssyslog,最重要的日志文件,使用syslogd守护程序来获得。 妖城在线论坛5 y; ~+ N Y" B
日志信息: 妖城在线论坛/ v9 J/ n w( s/ H$ Y& P
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息; bbs.mocwww.com/ E9 _* x9 a4 _* N
/dev/klog,一个从UNIX内核接受消息的设备; }& @! b' C! {% e, l# s
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; 6 d/ Q( H, k% l$ D9 n
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机; 魔力私服,最新魔力宝贝私服技术交流# K2 J7 a# T; }$ _/ T9 ]! d* F* G
lpd-errs,处理打印机故障信息的日志;
* [8 R# Q2 X2 E9 O0 }ftp日志,执行带-l选项的ftpd能够获得记录功能; bbs.mocwww.com2 y& w5 g6 i: l6 m& |7 j2 E) J
httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
* @5 H$ `' u5 n( Y) ~6 u妖城在线论坛history日志,这个文件保存了用户最近输入命令的记录;
* A4 s; m% ? Pvold.log,记录使用外接媒介时遇到的错误记录。
+ r3 w0 f4 j) B" R) r- {bbs.mocwww.com魔力私服,最新魔力宝贝私服技术交流+ s0 T' C5 y5 q; P. G- T0 y
这些信息中都可以被他们进行修改,造成各种查证的障碍
% }7 ~ D$ z7 Q( @# V- _魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了, y9 }3 q L& f. T
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表' ]7 ~2 x n% l% [" j4 D
所以在这和那些准备开F和已经开F的人说:
, `: V3 Q8 Z1 g" b* d魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表# _/ x2 o I% p$ B
2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
) h9 T" ~4 y" {- |! r4 O! l& V—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表' G" ~. K; Q* ?& t" c
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。
& c1 _7 @ @+ d+ Y% \魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。妖城在线论坛! h" z7 ^; n% P5 R
2 Z( d* n, v3 a—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
' d5 @5 T" C/ i6 n& |* p妖城在线论坛bbs.mocwww.com, e! n2 }3 ?& n& X' D' q/ F
中央喷泉
