小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。
" D- c# _0 k: A! z( Q& `bbs.mocwww.com后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。魔力私服,最新魔力宝贝私服技术交流 B( d( @. v2 n1 H
但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表) t. Z- d! W3 m5 U
9 i; H; u8 C# h! ?; B9 J6 i {魔力私服,最新魔力宝贝私服技术交流经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????
! I( [; ^) b) e, C! S; c妖城在线论坛后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
6 ^) M* F( o- z4 P: Y% s通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码. 妖城在线论坛+ g& y9 l% G! l
再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制bbs.mocwww.com2 O' @& O8 |( ~% V
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート9 @5 ]* g+ Y5 G/ g" f5 R: t
* U: v4 e! h/ C' d3 ]bbs.mocwww.com: D0 Y' ]* F5 S# v1 h+ j- J
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
4 |) D2 @6 G5 o" ~# _妖城在线论坛acct 或 pacct,记录每个用户使用的命令记录;
5 M6 u4 o a: d8 @) Z魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器;
2 b( M; g7 u7 ~3 p# T* P: sbbs.mocwww.comaculog,保存着你拨出去的MODEMS记录; 妖城在线论坛2 Y1 E* T- R; E
lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表* p" o5 m! t- [6 k' v
loginlog,记录一些不正常的登陆记录; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表9 W' P& h0 |) S) |5 [$ _) X8 I8 ?8 R
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成;
3 u# k9 \, x0 Ibbs.mocwww.comsecurity,记录一些使用UUCP系统企图进入限制范围的事例; 魔力私服,最新魔力宝贝私服技术交流: M3 ]6 F6 h: l* i
sulog,记录使用su命令的记录; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表/ u/ j) i. C, D, {: R$ [) m8 p! K
utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート* v- r; N* ~6 ?( q# f% r
utmpx,UTMP的扩展; 妖城在线论坛: y9 s1 g1 n0 l% r8 x
wtmp,记录用户登录和退出事件; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表1 _) d& |! B8 Y
syslog,最重要的日志文件,使用syslogd守护程序来获得。
' a1 [. B( w8 D- A. S日志信息:
; q8 b" z ^: A: E/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
2 m) p5 O, C, U/ M/dev/klog,一个从UNIX内核接受消息的设备; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート* F, V% g% q+ A6 r2 o# \
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; + b, H: L, ~' U. {1 q: J) Z
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
8 }& E* Z2 z7 g* I( n4 \# ~8 Llpd-errs,处理打印机故障信息的日志;
8 L* i# ~, M0 d$ g& ~) B" E- N魔力私服,最新魔力宝贝私服技术交流ftp日志,执行带-l选项的ftpd能够获得记录功能; 魔力私服,最新魔力宝贝私服技术交流. L9 |) _$ V7 B+ C
httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
c. i& D: p: J( K魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表history日志,这个文件保存了用户最近输入命令的记录;
. @2 {" r9 y; |" [( Tvold.log,记录使用外接媒介时遇到的错误记录。
3 X* I+ C: O2 J+ d6 w" _bbs.mocwww.com—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート; u& c2 A, B' x. N- T+ M
这些信息中都可以被他们进行修改,造成各种查证的障碍
/ W k; r s1 U8 g$ B- a% @, i我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了魔力私服,最新魔力宝贝私服技术交流6 i+ ^8 c/ b8 o, t1 N: Z, N
' w) W6 [/ ^" k* J- X. Ebbs.mocwww.com所以在这和那些准备开F和已经开F的人说:
; |+ |$ W; V0 |) l. p2 U$ ^' ^$ Z7 b1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F.
( b2 t8 |4 e4 _3 X& M魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地. 魔力私服,最新魔力宝贝私服技术交流! _3 M: U$ G9 j& T- M
3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート) V9 i# [7 o, f6 N2 x, {
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表. _+ }/ p# U* {4 p' a
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
8 ^. Q9 t( A; F$ V, o9 p; G: G魔力私服,最新魔力宝贝私服技术交流bbs.mocwww.com. a6 Z! ~3 j5 _' C! O# p2 h7 I. M0 U
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
/ F' I% s! c: G+ {: v Q魔力私服,最新魔力宝贝私服技术交流
5 I! C; |5 @) {# O$ R1 w魔力私服,最新魔力宝贝私服技术交流中央喷泉
