小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。: L( ?3 O- f1 f6 ?
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。妖城在线论坛7 i4 t( X8 l* K) ]& D' L
但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号
& @7 ?$ C y! c y H- F) z—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート
0 H1 L1 A/ g. t6 |妖城在线论坛经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????6 m) {1 _8 |) L! u$ w- x) V- @
后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是妖城在线论坛! ]4 Y, x( s/ o& ^
通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码.
* s$ N( T6 b; _6 {& P' R; u—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート g) j$ ~3 J1 ]5 ]
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表, ]- u4 u3 S0 i1 V8 f8 v2 \
' P ^4 L% f6 e0 B5 w魔力私服,最新魔力宝贝私服技术交流
. M- w& M. _! V6 A3 X( @$ i! {妖城在线论坛下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。 妖城在线论坛; Y" O ], E a) w. ?" W
acct 或 pacct,记录每个用户使用的命令记录;
* @3 a# W1 Z0 c1 |魔力私服,最新魔力宝贝私服技术交流access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器;
5 [, [: w; P' G& k4 Iaculog,保存着你拨出去的MODEMS记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/ {. S* c" l/ L. A3 l5 ^
lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート1 D1 a1 X; U, p# ?0 `
loginlog,记录一些不正常的登陆记录;
1 f* ]6 V) \# @6 `* l+ k) J魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表messages,记录输出到系统控制台的记录,另外的信息由syslog来生成;
( I1 |2 y9 N9 n9 Jbbs.mocwww.comsecurity,记录一些使用UUCP系统企图进入限制范围的事例;
& U! @& z% Z& ]—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートsulog,记录使用su命令的记录;
. C: ~0 U2 J L* u0 \bbs.mocwww.comutmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化;
( h3 t% e5 ?/ }7 v% M, u1 ~妖城在线论坛utmpx,UTMP的扩展;
% y0 g9 K+ p; ~% r" a. M* A魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表wtmp,记录用户登录和退出事件;
$ W$ d- x8 U# I& q4 E) xsyslog,最重要的日志文件,使用syslogd守护程序来获得。 妖城在线论坛" d4 n& T( ], J4 F
日志信息: 8 s( N0 F/ S" u* O2 M: L4 ?
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
+ b. R# }, A3 j/ K; j! Zbbs.mocwww.com/dev/klog,一个从UNIX内核接受消息的设备; 魔力私服,最新魔力宝贝私服技术交流5 n$ {: [7 d7 g/ N: q
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; 妖城在线论坛2 k9 v" _# {' s" u* J% x* J; F
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表5 V" F% Y0 s {. E2 g }& R4 K" \
lpd-errs,处理打印机故障信息的日志;
* S: m& `& j# n0 X* C1 ^' x7 aftp日志,执行带-l选项的ftpd能够获得记录功能;
+ x7 L9 }6 z& `7 g/ s! ]bbs.mocwww.comhttpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
) `6 \' t- }2 d0 ?, B魔力私服,最新魔力宝贝私服技术交流history日志,这个文件保存了用户最近输入命令的记录;
8 j! [# s V7 h5 g9 a0 g—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートvold.log,记录使用外接媒介时遇到的错误记录。
3 x1 N# Q4 I6 w2 |& K5 O3 V- e: a妖城在线论坛魔力私服,最新魔力宝贝私服技术交流2 F) X& t& A7 h' H9 _
这些信息中都可以被他们进行修改,造成各种查证的障碍
1 y# q6 `0 F. G/ @妖城在线论坛我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
% M5 Y o3 f% C. j
9 j; L D% Y: z9 H j% ~% K/ f) l1 f—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート所以在这和那些准备开F和已经开F的人说: bbs.mocwww.com `& V6 }2 r0 w! J9 y
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F. —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート A% P; I0 x( F! _+ ]" \0 w
2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
5 V" ] I0 P3 v0 K魔力私服,最新魔力宝贝私服技术交流3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. bbs.mocwww.com1 x6 C5 s# d+ [4 H) P; Y: H4 `
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。bbs.mocwww.com- v6 A. M# ~4 W: q
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。2 @. a1 x3 Y9 u u. l% N3 Z2 [
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート2 O& p1 O. b/ s7 I, t4 V, O% \$ k
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
! c" g) r8 F3 Y2 y7 u魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表魔力私服,最新魔力宝贝私服技术交流# z" n; X1 e7 S: I4 ^- {) L
中央喷泉
