小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。妖城在线论坛3 ^' F: F! c& n4 H7 Q
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。
2 ^9 S/ q+ E1 @; N! J- I" H妖城在线论坛但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号
, f+ [: i( {0 { P+ z. @; \妖城在线论坛魔力私服,最新魔力宝贝私服技术交流2 y; A- b: h8 Z* V: K
经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????
: y. @9 V, g7 \后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
5 b9 x( v, L' S6 L" I通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码. 魔力私服,最新魔力宝贝私服技术交流3 G. G% S. N% v% d9 l( t
再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制
+ ^; O3 r6 v0 F5 p9 m7 S5 Q- w魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏.
9 I' B7 I+ g4 e; ~: D1 o3 O7 T; W: T—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートbbs.mocwww.com! T- h+ v* I" E! Z
魔力私服,最新魔力宝贝私服技术交流4 p5 U* T5 g# n$ G8 U
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
' M5 v0 Z% o4 p# b) f/ v& vbbs.mocwww.comacct 或 pacct,记录每个用户使用的命令记录;
0 z0 I: b6 q& saccess_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; 妖城在线论坛. t" U) x+ M7 Y) K5 N T( L
aculog,保存着你拨出去的MODEMS记录; 魔力私服,最新魔力宝贝私服技术交流 o) s) o9 S) A$ s( d! @' q5 c
lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート) E; ]; L2 R4 _
loginlog,记录一些不正常的登陆记录;
4 L/ A. \( C) D4 O+ M( V妖城在线论坛messages,记录输出到系统控制台的记录,另外的信息由syslog来生成;
; v# m, n: G- d/ W+ W% W4 i5 G妖城在线论坛security,记录一些使用UUCP系统企图进入限制范围的事例; bbs.mocwww.com& b1 b9 Z$ G6 j: t5 u
sulog,记录使用su命令的记录; # q3 A B/ T- ~' ]0 c' m. e
utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化;
. h! u( H% U0 D E魔力私服,最新魔力宝贝私服技术交流utmpx,UTMP的扩展;
5 h4 M ^" L- v- Wwtmp,记录用户登录和退出事件;
4 _# q9 z+ S# `$ O/ l. m* w# _—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートsyslog,最重要的日志文件,使用syslogd守护程序来获得。
% P# `+ b9 ~1 } j魔力私服,最新魔力宝贝私服技术交流日志信息:
; d; \, t3 X% L妖城在线论坛/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
& @; r6 i( G! s# X" r/dev/klog,一个从UNIX内核接受消息的设备; 魔力私服,最新魔力宝贝私服技术交流5 M. o" p" Y5 F" `, ]0 [8 x, x
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; / ]5 V9 [4 K& a' j L% }
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机; 妖城在线论坛* t! r. h& ]7 U p% B
lpd-errs,处理打印机故障信息的日志;
1 R5 r4 ^3 _3 w) Wftp日志,执行带-l选项的ftpd能够获得记录功能;
' M: a z2 N0 l. p: L& nhttpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
+ o$ F0 R/ a! l; _! |bbs.mocwww.comhistory日志,这个文件保存了用户最近输入命令的记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート( Q5 m( T% K9 }4 _7 q' W+ E; g
vold.log,记录使用外接媒介时遇到的错误记录。
P# _& r' O/ x3 H4 Q7 {- I) S魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表
0 f# _/ {+ n* V9 m6 @7 b* }这些信息中都可以被他们进行修改,造成各种查证的障碍0 K& ]) q5 F: L8 l
我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了; [4 P6 l$ u0 K8 [- i* E
妖城在线论坛9 O: C9 e! v& G8 G9 F& t
所以在这和那些准备开F和已经开F的人说:
, J6 o" g2 Z* w( ^; D% U—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表. N6 q z4 I& Z/ |" v! t$ d
2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地. bbs.mocwww.com' n9 x8 c& V6 n! K* f* ?; M
3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表* \' h4 q; L: j( W5 g
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表& `2 L4 l( I$ w9 ?1 p( x4 v
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
5 V* E+ t& @3 l' ubbs.mocwww.combbs.mocwww.com R) ?4 {) @9 E3 e: ~2 j
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
/ w( F6 Y/ F/ H/ f" `; F—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート
) B% I' e& F9 _# l魔力私服,最新魔力宝贝私服技术交流中央喷泉
