小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。
/ Z; x+ N) i. c0 x魔力私服,最新魔力宝贝私服技术交流后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。bbs.mocwww.com/ d5 P. Q" d) y* A2 V x
但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート$ U; Q% d" ^5 [6 i3 h" s. S' l
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート( w' u4 x! |% ]# ]
经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????
0 W& M9 \7 J5 h) m妖城在线论坛后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是0 ~+ o% r6 a# @; c6 y
通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码.
& S9 r/ ?. y. }' a) z魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制妖城在线论坛4 {- i# N4 h: o/ p0 E7 ?) i
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表+ ^6 q3 V; A# f
* |: I6 Y3 g' V9 u0 I3 h2 Z1 S" {魔力私服,最新魔力宝贝私服技术交流妖城在线论坛 p' l1 g9 h% K n: R7 A' Z6 T
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
% p! A! K; J, \7 g2 t, [4 c魔力私服,最新魔力宝贝私服技术交流acct 或 pacct,记录每个用户使用的命令记录;
& k7 y; E F( M- ?6 R% _7 l3 m—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートaccess_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; bbs.mocwww.com) S" b7 H3 a5 {. n) ?" [% e
aculog,保存着你拨出去的MODEMS记录;
6 x: g$ P o- A( [—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートlastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
2 G' G- }7 f+ Z- n魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表loginlog,记录一些不正常的登陆记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート# \) T: p, e8 b" M& A3 f- k
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成;
7 p- L" q: o) X$ K @—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートsecurity,记录一些使用UUCP系统企图进入限制范围的事例;
& n' \$ k1 `& U& ^2 l& D3 ~妖城在线论坛sulog,记录使用su命令的记录; 妖城在线论坛; X" G1 O) N( w4 |$ i& U& e- c7 [
utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; 妖城在线论坛% u& F# O$ e8 N: Z2 }( k& Q
utmpx,UTMP的扩展; 魔力私服,最新魔力宝贝私服技术交流 J" y1 {9 G6 {8 l7 p& v2 E5 }7 a e
wtmp,记录用户登录和退出事件;
6 m. Z9 Z. Q3 \0 q魔力私服,最新魔力宝贝私服技术交流syslog,最重要的日志文件,使用syslogd守护程序来获得。 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート1 d( n6 z; H- s. b: f
日志信息: 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表" w. s& N' p- t
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
* w9 s% H+ P6 |bbs.mocwww.com/dev/klog,一个从UNIX内核接受消息的设备; ! C" S! ^- f/ J8 }4 s6 S% O$ G& _1 w
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息;
* O% W5 S/ G9 T0 vbbs.mocwww.comUucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
7 o4 \6 n" U) S+ D: O8 T# b魔力私服,最新魔力宝贝私服技术交流lpd-errs,处理打印机故障信息的日志;
0 Q8 l: c( T# a& B0 o Bbbs.mocwww.comftp日志,执行带-l选项的ftpd能够获得记录功能; 妖城在线论坛. [3 r- N9 U, V! H
httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表" c( d/ ^$ t* Y
history日志,这个文件保存了用户最近输入命令的记录; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表; I2 _* R2 P) w. N: e7 d
vold.log,记录使用外接媒介时遇到的错误记录。 0 J5 N( v/ ^7 h4 k& }/ X# l
# }2 v; E) y" x) ^& c这些信息中都可以被他们进行修改,造成各种查证的障碍
& C% w) L' l: V9 d. l—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了魔力私服,最新魔力宝贝私服技术交流3 v, |! `8 V2 z+ X$ Z
4 Q! U' U1 U4 a5 {) g2 K
所以在这和那些准备开F和已经开F的人说: 妖城在线论坛8 I( o. p5 {1 P
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F.
7 P% q6 v5 ?, U6 O* j4 d& G2 l% l7 U魔力私服,最新魔力宝贝私服技术交流2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地. —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート' P. Z6 x7 T; m
3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表6 g$ v( z+ {: [, y
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。妖城在线论坛) B" e0 i/ P& o+ w7 ?! U$ p
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
2 {/ _ a$ b' Q5 l% `
, X8 p% p2 R' O; G4 P; m3 R魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。bbs.mocwww.com, ?! n# J8 }: c1 [
9 J9 B3 F: F) W5 ?0 e$ M! m* ?! Q魔力私服,最新魔力宝贝私服技术交流中央喷泉
