小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。妖城在线论坛0 r3 K' c. v" Y# U6 ^% y1 f
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。
( n% S: T/ W+ e, B7 a妖城在线论坛但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号魔力私服,最新魔力宝贝私服技术交流6 L; ?5 m. c2 D0 _. J. E
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート2 ?8 z. e* n- e {' \/ }3 h, L
经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????魔力私服,最新魔力宝贝私服技术交流7 |" r* ^7 T- m6 B, A
后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是bbs.mocwww.com% A4 s( u: w/ @; F1 d8 e7 J. [
通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表9 O2 s% ~( j0 B+ G- [
再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制魔力私服,最新魔力宝贝私服技术交流 z; X; ], m7 l6 w7 M2 I
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表7 B8 G, M d, K6 |5 W: J$ ?$ Y
- J: W$ u/ ?# v
) _8 x& y% ]* Q魔力私服,最新魔力宝贝私服技术交流下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。 妖城在线论坛+ A/ ]: ~" U, |6 x7 t: M6 J
acct 或 pacct,记录每个用户使用的命令记录; 5 Y: c0 i* ?2 @' E; o
access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器;
* N$ S- _+ \$ w/ E妖城在线论坛aculog,保存着你拨出去的MODEMS记录;
0 e' s0 J( [" H+ u# D7 i/ b( a魔力私服,最新魔力宝贝私服技术交流lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录; : t6 e; N1 X4 j5 q
loginlog,记录一些不正常的登陆记录;
7 S7 H5 X6 m5 k$ ibbs.mocwww.commessages,记录输出到系统控制台的记录,另外的信息由syslog来生成;
* g8 b9 x @& }: |魔力私服,最新魔力宝贝私服技术交流security,记录一些使用UUCP系统企图进入限制范围的事例;
- m( d1 `( s* n: H, r; l& K魔力私服,最新魔力宝贝私服技术交流sulog,记录使用su命令的记录;
" N3 [# y) i; t+ g/ {. Bbbs.mocwww.comutmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; , o! ?* F V9 \3 Z& a/ h6 r
utmpx,UTMP的扩展; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表9 C# G! r) T6 _% w! V
wtmp,记录用户登录和退出事件;
% ?6 K! r1 }; Q3 K魔力私服,最新魔力宝贝私服技术交流syslog,最重要的日志文件,使用syslogd守护程序来获得。 妖城在线论坛5 b4 Q& P( w5 T7 o+ Z4 R
日志信息:
% J$ {' K ?" t魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
# {2 T( f7 N% c9 |/ ^; h, W$ P魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表/dev/klog,一个从UNIX内核接受消息的设备;
: e0 }7 h3 G1 D2 q; [3 qbbs.mocwww.com514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息;
8 S v+ ~! \4 n- B9 n9 K—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートUucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
/ Z/ r7 x0 \3 P妖城在线论坛lpd-errs,处理打印机故障信息的日志;
, r8 h4 v9 v+ b% b/ a魔力私服,最新魔力宝贝私服技术交流ftp日志,执行带-l选项的ftpd能够获得记录功能; 魔力私服,最新魔力宝贝私服技术交流' B. m' L: l) Y
httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
$ U; {# o, e' W h. R9 w—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートhistory日志,这个文件保存了用户最近输入命令的记录;
( M0 r) d# R" v3 ]3 i9 D3 y3 Mvold.log,记录使用外接媒介时遇到的错误记录。
3 l* t; P) _, o P& N. cbbs.mocwww.com
7 S/ Z f7 ~2 obbs.mocwww.com这些信息中都可以被他们进行修改,造成各种查证的障碍
( h+ o/ o# H+ Q" }1 u* q5 p我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
# t; V- A+ S; D4 K0 q—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートbbs.mocwww.com! n, c* F+ k9 l4 ^, b- O5 e
所以在这和那些准备开F和已经开F的人说:
0 `* w D3 S, i0 R, A Zbbs.mocwww.com1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F.
: ?, ~" h8 n: D0 V: z5 @/ p( a—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地. bbs.mocwww.com9 `+ b- U3 z, S/ J A- R
3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失.
. p: T6 G. O" w魔力私服,最新魔力宝贝私服技术交流4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。8 j! S- P3 v( j+ y
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
. Y$ V3 l3 E; T! y妖城在线论坛魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表7 [2 z" Y+ D9 w- e
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。妖城在线论坛9 s$ X* [7 N# ~ K, L) G3 S
妖城在线论坛( k" d$ u' K, r( H- j
中央喷泉
