小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート) }( }4 a4 A H. b( Z& V8 M" `! z
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。
& n4 K' A! L# H$ b- N7 e魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号魔力私服,最新魔力宝贝私服技术交流. p) w) e0 w0 S r1 d9 d3 E9 I5 d
8 u$ H, ^9 {: k( n" C* x/ [! y) j妖城在线论坛经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????3 ~5 c7 d8 |5 x; t* A
后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート) Z: f8 [2 S; z" w5 C
通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码. —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート1 C Y' b+ e- ?6 n/ v: r
再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制
' `1 l% `9 N# Cbbs.mocwww.com通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. / Q7 |8 l% C, H0 X1 f
2 W. M2 R. ^% I* q$ V妖城在线论坛
7 Z6 T6 E. ]1 h; f& c+ ~9 N+ s妖城在线论坛下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。 妖城在线论坛! X9 a9 Z2 G2 b
acct 或 pacct,记录每个用户使用的命令记录; 6 l" _) W: d3 ~! X; z
access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; bbs.mocwww.com+ S$ Y' k5 N' ^2 f/ f9 r0 s
aculog,保存着你拨出去的MODEMS记录;
; ?- c; F8 n! X/ _8 P* W0 t妖城在线论坛lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
3 I$ O$ j; C( E. Y' ^0 l- S妖城在线论坛loginlog,记录一些不正常的登陆记录; 妖城在线论坛! l7 X& o- [- c8 b1 f
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成; bbs.mocwww.com5 w+ R1 V4 m# ^( [6 _
security,记录一些使用UUCP系统企图进入限制范围的事例; bbs.mocwww.com: ~7 s' L! e% A
sulog,记录使用su命令的记录; 妖城在线论坛# d n1 L4 H2 } L- s- m2 t1 [
utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; 妖城在线论坛3 B/ ]$ f. ~ O( N8 d8 t
utmpx,UTMP的扩展; 9 W' F4 b, D5 G( x8 c
wtmp,记录用户登录和退出事件;
- g/ y' d% l. e4 k6 e$ wsyslog,最重要的日志文件,使用syslogd守护程序来获得。 5 T. m& R* J4 y0 }8 ?, K3 Z7 N
日志信息: —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート4 c! e8 w# S* g* Z- ~! E |
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息; 魔力私服,最新魔力宝贝私服技术交流# Q3 W8 |: @+ k/ f: P0 n( `2 L0 J$ c
/dev/klog,一个从UNIX内核接受消息的设备; 魔力私服,最新魔力宝贝私服技术交流) e6 N6 K$ B3 s0 Y Z2 ^
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; 7 I6 J5 U6 ~1 A; \
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
5 v R0 c# S/ [: j0 x2 abbs.mocwww.comlpd-errs,处理打印机故障信息的日志;
5 j/ a1 J. ^3 L" z5 jftp日志,执行带-l选项的ftpd能够获得记录功能; 魔力私服,最新魔力宝贝私服技术交流5 G: y* o( R5 l2 T
httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
0 ]8 Z8 W* M( ?魔力私服,最新魔力宝贝私服技术交流history日志,这个文件保存了用户最近输入命令的记录; 魔力私服,最新魔力宝贝私服技术交流5 L* N3 z2 F2 i" q4 z7 F
vold.log,记录使用外接媒介时遇到的错误记录。 妖城在线论坛/ C. L, J( z, Y5 Z: E, [# T
, ?& ` `* w e. [魔力私服,最新魔力宝贝私服技术交流这些信息中都可以被他们进行修改,造成各种查证的障碍魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表/ a) [! B# _, f9 l' J4 n5 g4 N% O
我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
, ]; b3 `( j0 V妖城在线论坛bbs.mocwww.com& G0 o2 y' e o- B) s% T+ g. m: b
所以在这和那些准备开F和已经开F的人说: 魔力私服,最新魔力宝贝私服技术交流( i& k- t' e" u
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F.
5 p7 S) J, m" L, C5 L& r# l魔力私服,最新魔力宝贝私服技术交流2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地. - _4 a. q; W8 N( l! U4 t
3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表& r6 I. r0 T7 n- M0 N6 `- l
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。
5 l. @1 H E+ n7 C4 Q魔力私服,最新魔力宝贝私服技术交流5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
. M( J9 L" V; M( {4 j8 ]妖城在线论坛妖城在线论坛) \6 J8 s% r% q, k+ Y
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。魔力私服,最新魔力宝贝私服技术交流2 S; i, m( ]& {8 ?' t H
2 l9 F3 |0 K% e, _魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表中央喷泉
