发新话题
打印

[讨论] 小服被入侵,日志文件中登陆信息被篡改

小服被入侵,日志文件中登陆信息被篡改

我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。
# g' K- Q/ `2 {$ Sbbs.mocwww.com后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。
& a9 E3 ^8 b5 V8 T# ~bbs.mocwww.com但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号
- z0 F- l  v7 h* J魔力私服,最新魔力宝贝私服技术交流
7 M% n7 X2 f5 P—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????bbs.mocwww.com/ O1 T) S5 f3 `: X  p' V
后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
: X4 W4 {9 i" A# J+ o! t+ |- ~—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码.
* r- P( K" [* N; j. N& `bbs.mocwww.com再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制
1 W# k# }3 ~3 {. R妖城在线论坛通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. 魔力私服,最新魔力宝贝私服技术交流) e1 ~9 o* Y. b1 H
3 @8 t7 ]3 d+ [
妖城在线论坛( B0 e! O4 R4 H* w4 k9 K. ~- T
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。 妖城在线论坛  b& l5 q( u% x5 q5 B  H* C
acct 或 pacct,记录每个用户使用的命令记录;
9 U1 R3 _% F) g" {access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器;
$ o' B& z' s9 ^6 i3 \* Y魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表aculog,保存着你拨出去的MODEMS记录; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表+ w$ b$ c) g4 S: s% l
lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
( k. \2 {# z* L妖城在线论坛loginlog,记录一些不正常的登陆记录; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表( x0 A5 T; r! f: _/ @9 a
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成;
: R+ I3 ]6 ]4 f8 y' L魔力私服,最新魔力宝贝私服技术交流security,记录一些使用UUCP系统企图进入限制范围的事例;
' e- r+ ]& V( `1 q$ b6 P/ p' J4 {sulog,记录使用su命令的记录; 魔力私服,最新魔力宝贝私服技术交流5 Z/ w: K) Q/ s
utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; 3 Y( {: Q6 `$ a" |# K4 m( h- U
utmpx,UTMP的扩展;
2 O8 r( T0 N( l! Wbbs.mocwww.comwtmp,记录用户登录和退出事件; bbs.mocwww.com7 _6 G6 T1 o4 q+ c, d
syslog,最重要的日志文件,使用syslogd守护程序来获得。 bbs.mocwww.com! m% T+ e. @  g+ Y4 F; K7 g
日志信息: bbs.mocwww.com  ~* y. x/ E: P- a% i9 R2 T
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
- N! w9 q7 F* f妖城在线论坛/dev/klog,一个从UNIX内核接受消息的设备;
- a  p1 G  c/ c9 n& a" q- x- S魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息;
2 S" `/ p3 w  Z0 D  o魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
/ U! P' d3 i$ j$ Z6 i4 \' B- Zlpd-errs,处理打印机故障信息的日志; 妖城在线论坛4 g9 ?- F& W5 a2 _6 k" [
ftp日志,执行带-l选项的ftpd能够获得记录功能; 妖城在线论坛% x- G% x0 t% F# Q# g; |
httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录; bbs.mocwww.com+ x& M4 K, E# j# `
history日志,这个文件保存了用户最近输入命令的记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート8 ^' n5 _  B+ x' n" M  ~
vold.log,记录使用外接媒介时遇到的错误记录。 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表! O3 D& G. i% W/ w! U

* S- D7 X# p, B+ O+ K/ }这些信息中都可以被他们进行修改,造成各种查证的障碍
2 Z  I8 z, L: J. }3 j我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
) c/ J9 k" y6 Z, c# }. a. ?; C魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表妖城在线论坛- ~/ k' `4 G. H& c
所以在这和那些准备开F和已经开F的人说:
; N2 Z2 r+ K% r. W5 v9 N妖城在线论坛1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F.
; J  O/ i/ |8 X) l. V. H妖城在线论坛2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地. —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート6 o& B/ G3 `; D3 I5 f# G# E: s
3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/ s% ?' t. F' p. x8 f8 }& s5 t
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。bbs.mocwww.com. X/ [5 [# a! z5 v$ b$ k
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
2 S# p( C8 {: y- L  a妖城在线论坛妖城在线论坛) b4 X2 ]- C! {3 t( D; T) ?
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。妖城在线论坛( r8 A; x+ }1 t6 M

1 u+ b- ^3 N, w$ {, j魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表中央喷泉

TOP

嗯...给准备开F的朋友一个好的建议了... 不过..偶不开F...
思念,是止不住对你的想念~!

TOP

能管理级控制服务器当然可以将机器上纪录的相关信息删除,一般正规的还需要通过外部的安全措施,比如几级服务器技术,真想开F还是买个托管吧,至少人家还多个专业级的硬件防火墙!

TOP

    总有人喜欢攻击

TOP

要学习的还很多
# K  o1 e' w& D' A1 c+ v! q魔力私服,最新魔力宝贝私服技术交流要防范的也很多- -
1 d3 l6 {5 [- }$ |* I4 ]9 N& b魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表防不胜防啊

TOP

我一开始也以为是他们自己开始使用外挂妖城在线论坛* p$ v3 t  v" e# E9 Q  O0 ?5 ?
但是后来发现这些登录记录和IP是被修改伪造的—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート7 N/ y8 _: }' x" t5 u; [
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート! J0 d7 j5 |. ^, C
差点就封错了好人了
* t+ b+ \8 W1 k. a! j( T9 i8 vbbs.mocwww.com呵呵
0 F! @9 ~7 O! g; ^" h
+ X- z. \2 ]3 I* q—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート进过修整,已经重新开F了
5 g0 _) g- E+ M5 ~bbs.mocwww.com
0 A/ X9 j, l: O妖城在线论坛呵呵

TOP

很大一部分原因是因为自身给人家开了门.

TOP

不错的帖子 楼主加油
寻找一个/一群朋友,一起创造魔力

TOP

防范防范 额 看来要多学习下
成功是努力的动力!!

TOP

发新话题