小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。妖城在线论坛8 q1 u* H3 ~0 m1 c' i8 }" x
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。
4 q/ U5 W L" h2 s1 e8 i7 C- u—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号
3 a2 L+ e" l: L5 J
I# w. v% s$ S# e# U' d$ W—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????妖城在线论坛8 A% T; }* `" J0 J& X8 {
后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
3 G" P$ j/ ?6 J V# c通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码. ; [' I) D7 K: d# x8 S
再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表' U2 l2 y) M- L+ E! w6 w) E. s& e
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. + N# `2 Q. J2 c/ O* y% J2 k
. N; V2 Y* a; V8 R3 L魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表4 {; J1 E5 {2 L, t2 i
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
- g+ F \1 Y& A9 z# d. J6 ?$ T+ M—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートacct 或 pacct,记录每个用户使用的命令记录;
, g+ ^* A+ S' x4 Z- F—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートaccess_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器;
# x/ s/ i% [4 y) B9 {5 ~妖城在线论坛aculog,保存着你拨出去的MODEMS记录; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表0 m4 `9 C3 h9 }. `/ f2 y
lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
6 o- a3 v: I/ |# h5 ^bbs.mocwww.comloginlog,记录一些不正常的登陆记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート; b( Z7 w/ M* l5 Y% M# d$ t
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成;
" s% D Y3 I7 B: v魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表security,记录一些使用UUCP系统企图进入限制范围的事例;
7 k& R C" L+ ^ j魔力私服,最新魔力宝贝私服技术交流sulog,记录使用su命令的记录;
( h; |" H8 m! `" |—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートutmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/ e* x) T( s S
utmpx,UTMP的扩展; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表; E: d, F1 ?* g6 R- ?; t
wtmp,记录用户登录和退出事件;
' B7 m( p, S6 | u+ `' b& {: r魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表syslog,最重要的日志文件,使用syslogd守护程序来获得。 魔力私服,最新魔力宝贝私服技术交流, x5 F' T5 H: d4 O# P
日志信息:
$ M, z$ @5 M1 S6 @6 B: I& g* Q/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
V0 ^$ b. F" a7 u$ i/dev/klog,一个从UNIX内核接受消息的设备; bbs.mocwww.com7 k( i) f( L( M
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息;
+ W. Q! b% `* u# b魔力私服,最新魔力宝贝私服技术交流Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
$ b2 a+ p- U/ A& H% W7 E& Ulpd-errs,处理打印机故障信息的日志;
2 Z* i5 c% e. e. R魔力私服,最新魔力宝贝私服技术交流ftp日志,执行带-l选项的ftpd能够获得记录功能; 妖城在线论坛4 R( z( B2 x3 e2 m8 b1 h; U7 T% M! F& }/ w
httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート: C- q0 [/ V* W8 @; d ?% r+ ~
history日志,这个文件保存了用户最近输入命令的记录;
1 v8 L* C7 Q4 i* g- O1 |妖城在线论坛vold.log,记录使用外接媒介时遇到的错误记录。
8 o8 R: j2 h- f: K# ~) P妖城在线论坛魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表! B( x- V; g4 n# L
这些信息中都可以被他们进行修改,造成各种查证的障碍bbs.mocwww.com+ ^; w4 |! Y; M, {
我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
7 Z9 U- t% x) M! w6 I妖城在线论坛bbs.mocwww.com& g4 G& h2 Q' y! {# u
所以在这和那些准备开F和已经开F的人说: —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート6 F+ ~" b4 G1 P3 D; V
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F. —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート! o @9 C5 g" ~: W# Q
2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
$ b3 Q8 M ^8 @$ R: W, c魔力私服,最新魔力宝贝私服技术交流3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. * m) ?3 H3 O3 F& e2 B" I
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。8 {9 Y1 e; s' j8 |8 I
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート9 h/ L1 `5 C' {6 y
妖城在线论坛! A4 B+ @, ~/ O
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート# y7 ? m5 G! r
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/ I, g+ q& J% G+ X% }# p' T& y
中央喷泉
