小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。妖城在线论坛) ~% ~4 F: V2 w5 H+ Q
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。bbs.mocwww.com1 @+ k) d/ N$ Q, ]4 v* P; j6 r
但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号
' X# ^$ w' {& Fbbs.mocwww.com
9 n0 e; ^, e- i9 G) t, E妖城在线论坛经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート& m0 K+ B3 ]' u {$ O: l8 L! H% T! x
后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
% m" }0 O% a2 d5 X魔力私服,最新魔力宝贝私服技术交流通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码. 妖城在线论坛 K1 L! }) \- P% z, ^$ p) D) q
再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制魔力私服,最新魔力宝贝私服技术交流& e( u3 n% A# D, Y* s7 O
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. bbs.mocwww.com+ n& v) F+ ~. u- ~, w: b
- h5 I* z/ [# {' Z( H魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表
/ J$ e5 T' c! j1 N5 m" mbbs.mocwww.com下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表5 C2 X! J% U, C/ J7 [
acct 或 pacct,记录每个用户使用的命令记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート5 O6 {& o1 F/ F, f
access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器;
# H0 c# A I$ U. ]! t3 ^5 V魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表aculog,保存着你拨出去的MODEMS记录;
& r" g! v: k- C7 S* }+ I妖城在线论坛lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录; 妖城在线论坛$ _" \9 `' W# ^) t
loginlog,记录一些不正常的登陆记录;
9 w3 b" t& _+ C; v. K" z魔力私服,最新魔力宝贝私服技术交流messages,记录输出到系统控制台的记录,另外的信息由syslog来生成;
. R! X. m: D! K! g+ N5 b9 Nsecurity,记录一些使用UUCP系统企图进入限制范围的事例;
1 _. [" R& U) d1 {5 r0 }* n5 zsulog,记录使用su命令的记录;
6 Y! B$ L7 M9 p8 K魔力私服,最新魔力宝贝私服技术交流utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化;
# S' f% A4 k. p) v' g' x. u) [魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表utmpx,UTMP的扩展;
7 N% {; d# @9 U, P* Y魔力私服,最新魔力宝贝私服技术交流wtmp,记录用户登录和退出事件;
5 j/ ]7 X& B9 g0 Csyslog,最重要的日志文件,使用syslogd守护程序来获得。
9 M0 r& b6 g/ B0 N. W日志信息:
G7 J1 e g& s. }% f' B! ^# F7 ~妖城在线论坛/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息; bbs.mocwww.com4 N( c" w. Q! A3 I( g+ P- i
/dev/klog,一个从UNIX内核接受消息的设备; 魔力私服,最新魔力宝贝私服技术交流9 K% a) D" F! A/ I, }
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; % K+ _6 F5 ]9 }" ^) C5 |- z
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
0 [8 I# k2 v$ E$ T R. n魔力私服,最新魔力宝贝私服技术交流lpd-errs,处理打印机故障信息的日志;
' k+ a& h0 \, R% P6 B4 U& Q魔力私服,最新魔力宝贝私服技术交流ftp日志,执行带-l选项的ftpd能够获得记录功能;
3 j1 L& a+ R! e+ m# _& n4 ebbs.mocwww.comhttpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
1 _7 r) T* h/ E" Ehistory日志,这个文件保存了用户最近输入命令的记录;
# F% I R$ ]- ^vold.log,记录使用外接媒介时遇到的错误记录。 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート" R1 V4 a/ O5 U! L3 ?) J( G4 B
4 R; x0 B; C; {bbs.mocwww.com这些信息中都可以被他们进行修改,造成各种查证的障碍
C; D0 q8 Q( P& }" W# x—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了5 ~- M/ s( y! }
3 g) T2 U9 c. G& D. q
所以在这和那些准备开F和已经开F的人说: 魔力私服,最新魔力宝贝私服技术交流/ j' q J, C: F$ A
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F.
# E9 k/ a0 x& v0 g q, h: ^bbs.mocwww.com2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
@" M$ M0 X6 U" | |3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. bbs.mocwww.com( w/ Z' \% C- @6 ]* v! d l4 ]& d" w
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート, R, \! ]8 M0 O+ {! p7 ?
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート# J6 \) f* J" e+ E, c
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート6 }# e6 x! `% t: A- t3 _2 E9 {
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表- X; d1 C! P# M6 I6 {$ H* e
, H" Q) U; i1 }- G$ ^" e妖城在线论坛中央喷泉
