小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート$ S; \0 o1 {0 I$ H8 h" G
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。
) d4 c; p* N5 V8 y( Z& [但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号5 N8 P7 @, a' `6 T9 U
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート4 ^+ U- R' o4 | S+ ?
经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????妖城在线论坛 V5 b. A0 q$ p- ^5 }! f1 X8 E8 o5 Q2 h
后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是
4 ^* j# f% r8 G T魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码.
3 D$ e. r8 \- r% h: \+ _# O7 Qbbs.mocwww.com再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制' c! S7 n' h6 }5 f
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏.
! a, I. P& N# }8 q+ Q—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート
9 L# y" L1 K1 z魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表妖城在线论坛, a; _! R+ a6 U& h2 D( K
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。 bbs.mocwww.com8 q) d8 v% i+ E0 c
acct 或 pacct,记录每个用户使用的命令记录;
% ^0 S7 Y3 ~$ w! x5 d魔力私服,最新魔力宝贝私服技术交流access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; 魔力私服,最新魔力宝贝私服技术交流$ P/ w, c8 I7 E6 [/ @! B
aculog,保存着你拨出去的MODEMS记录;
- T L! l# d5 w8 Qlastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录; 8 b9 R8 q$ M. R' Z
loginlog,记录一些不正常的登陆记录;
' z8 ~& Q4 @$ F1 V7 Kbbs.mocwww.commessages,记录输出到系统控制台的记录,另外的信息由syslog来生成; bbs.mocwww.com4 x0 G( n! I: K$ A3 y8 r9 o+ _ u' D
security,记录一些使用UUCP系统企图进入限制范围的事例;
% J" A6 ^4 w) O3 _* k—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートsulog,记录使用su命令的记录;
, W1 X3 t0 J( u, x& u8 \4 B—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートutmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化;
* J2 N* p/ _( Y/ i- v; v魔力私服,最新魔力宝贝私服技术交流utmpx,UTMP的扩展;
- q0 l7 P' P4 wbbs.mocwww.comwtmp,记录用户登录和退出事件; 魔力私服,最新魔力宝贝私服技术交流( M; m3 n, q7 s7 V. D
syslog,最重要的日志文件,使用syslogd守护程序来获得。
8 R/ \9 v+ x, R) U日志信息: 妖城在线论坛5 v) U j" o/ w' E: q0 V' T2 W: k
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息; 妖城在线论坛' {8 V( v# I7 b7 k* \, u4 h
/dev/klog,一个从UNIX内核接受消息的设备; 魔力私服,最新魔力宝贝私服技术交流- h4 t1 l( H/ r, _' e" s& Y& D. a
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息;
+ x3 P5 @7 ^3 h% G魔力私服,最新魔力宝贝私服技术交流Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
& O7 d4 ~5 N2 h! G/ v( j- E2 e% S魔力私服,最新魔力宝贝私服技术交流lpd-errs,处理打印机故障信息的日志; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表% w- u& A, v2 C w9 L
ftp日志,执行带-l选项的ftpd能够获得记录功能;
0 `# Y5 ]# U& \7 s- ~8 r; I" o妖城在线论坛httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录; 魔力私服,最新魔力宝贝私服技术交流& E* `. P6 X; {5 N& N& |
history日志,这个文件保存了用户最近输入命令的记录; bbs.mocwww.com% ?: e0 Y1 V1 H% v
vold.log,记录使用外接媒介时遇到的错误记录。 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート+ ~8 h, p; r5 r" y- v4 P% w
bbs.mocwww.com- |+ G6 S( F$ W x; {( _
这些信息中都可以被他们进行修改,造成各种查证的障碍
4 [' @. M) }+ ^—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了bbs.mocwww.com$ S$ N# f$ e# D% u# r
bbs.mocwww.com! f) R3 a# E. o
所以在这和那些准备开F和已经开F的人说:
8 B; e7 C/ q( E7 C" c, w! g, T) _1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F.
, c* u8 G2 f7 R" f9 l' x/ l" c" e/ Rbbs.mocwww.com2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地. 妖城在线论坛( ]" J- d: ^" m p8 R- j* `
3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失.
7 i3 L+ }6 B7 p魔力私服,最新魔力宝贝私服技术交流4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。
3 W1 e% [) n- J+ I& P% v5 W7 _( K魔力私服,最新魔力宝贝私服技术交流5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。妖城在线论坛3 u" Z |3 {/ n) b
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート* y1 m! i! T0 c9 g( t2 V. N
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
' _& H* M7 J T0 U6 Z: N妖城在线论坛
0 `6 M3 E' |, j% d' ^中央喷泉
