火锅事件服务器被黑 守护自己伤害别人
作者：Hobby　来源：TGBUS整理　发布时间：03-12
内容简介：300英雄火锅事件服务器被黑，黑客声称以自己的方式守护这个游戏
　　导读：本子节是14年300英雄贴吧的重头戏，15年年初又闹出了个火锅事件，那么这些事件后反应出的问题是什么呢?游戏的整体平衡性游戏机制还是玩家过于中二?
　　首先从这一次的火锅事件来分析，之所以会出火锅事件是玩家不满目前游戏的运营，如果对游戏没有那么强烈的爱意又为何会反抗，事件出来后玩家也是分为了三派，一派是站在火锅这边唯恐天下不乱的，一方是保持中立态度，另一方是反对火锅这样的行为力求能够安稳游戏的。以上这三大流派的玩家都对游戏充满了爱，只是表达的形式不同，爱的越深恨就越深也许是这个道理。
游戏服务器连接失败
　　游戏的运营并非易事，英雄平衡问题调整需要大量的数据，平凡的修改英雄数据是对玩家的不负责，至于游戏使用第三方软件解封的事情官方已经做出让步，部分玩家扭曲意思大肆散播，源头还是来自那些&我以为&类型的玩家。从论坛的帖子中来看跟风闹事的玩家还是少数的，很大一部分玩家都在维护着游戏的正常运营。
　　游戏本身就是为大家带来欢乐的，只要在游戏中能够获得快乐就该满足，觉得无爱便放弃游戏，往往简单的道理大家也只能从口中说出而并非能够做到，伴随着大家的大多是愤怒与冲动，恶意攻击游戏服务器的行为绝对不提倡，口口声声说以&自己的方式守护这个游戏&却伤害了那些只想单纯游戏的玩家。
贴吧玩家恶意攻击公告
将本文分享到：
300英雄微信活动雇黑客攻击别人的服务器 自己也被“黑”上审判台 07:21:58
自己运营的游戏服务器遭攻击无法正常运行，山东济宁的小张决定“以牙还牙”——雇佣“黑客”攻击其他代理运营商的游戏服务器。
26岁的小张，曾经经营游戏私服，但因经营不善歇业了。2012年4月，小张与浙江杭州蜗牛网络科技有限公司签约，成为该公司推出的一款名叫“神途”的游戏的合作代理商，先后开了四个游戏分区。
刚开始，“神途”运行得很顺利，玩家渐渐多了起来，小张心里很高兴。谁知道从去年6月开始，他的游戏
分区先后遭到DDOS攻击，造成断网、游戏玩家掉线。所谓DDOS攻击，也叫流量攻击，简单来说，就是利用巨大的网络流量堵塞网络导致服务器不能正常运行，导致游戏经常掉线，玩家也无法正常登陆，如果攻击流量太大，将直接造成被攻击的服务器IP被屏蔽。
小张认为，这一定是一个叫“好神途”的代理商所为。为了报复，他决定找个“黑客”教训教训“好神途”。很快，他通过QQ找到了一个名叫“小菜”的黑客，对方声称自己有网络流量，也可以进行DDOS攻击。
日到8月10日，他们伙同其他人，多次对蜗牛网络公司架设的、由他人代理运营的“神途”游戏服务器进行攻击，导致“飞跃神途”、“好神途”、“嘟嘟神途”等多组游戏服务器无法正常运行，时间累积长达15小时以上。经查，“神途”游戏共有非重复的注册用户82000名。
蜗牛网络公司发现自己的游戏平台收到攻击后立刻报警，江干警方很快将藏匿的小张和“小菜”抓获。检方审查后认为，小张和“小菜”违反国家规定，对计算机信息系统功能进行干扰，造成计算机信息系统不能正常运行，后果特别严重，已经触犯了刑法，构成破坏计算机信息系统罪。
目前，江干区法院已受理该案，将择日开庭审理。来源：今日早报&&&&作者：通讯员 辛成 记者 陈洋根&&&&编辑：郑海云&&&&
我也来说两句：
杭州网版权与免责声明： ① 凡本网注明“稿件来源：杭州网（包括杭州日报、都市快报、每日商报）”的所有文字、图片和音视频稿件，版权均属杭州网所有，任何媒体、网站或个人未经本网协议授权不得转载、链接、转贴或以其他方式复制发表。已经本网协议授权的媒体、网站，在下载使用时必须注明“稿件来源：杭州网”，违者本网将依法追究责任。 ② 本网未注明“稿件来源：杭州网（包括杭州日报、都市快报、每日商报）”的文/图等稿件均为转载稿，本网转载出于传递更多信息之目的，并不意味着赞同其观点或证实其内容的真实性。如其他媒体、网站或个人从本网下载使用，必须保留本网注明的“稿件来源”，并自负版权等法律责任。如擅自篡改为“稿件来源：杭州网”，本网将依法追究责任。如对稿件内容有疑议，请及时与我们联系。 ③ 如本网转载稿涉及版权等问题，请作者在两周内速来电或来函与杭州网联系。
增值电信业务经营许可证： | 信息网络传播视听节目许可证：1105105 | 网络文化经营许可: | 工信部备案号：浙ICP备号-1(杭州网络传媒有限公司)版权所有未经授权禁止复制或镜像法律顾问： 马宏利2013年5月 总版技术专家分月排行榜第一
2016年7月 总版技术专家分月排行榜第二2016年3月 总版技术专家分月排行榜第二2015年12月 总版技术专家分月排行榜第二2014年8月 总版技术专家分月排行榜第二2014年7月 总版技术专家分月排行榜第二2013年6月 总版技术专家分月排行榜第二
2013年9月 其他开发语言大版内专家分月排行榜第二2013年8月 其他开发语言大版内专家分月排行榜第二2013年7月 其他开发语言大版内专家分月排行榜第二2011年4月 PHP大版内专家分月排行榜第二
2013年10月 PHP大版内专家分月排行榜第三2013年5月 PHP大版内专家分月排行榜第三2013年4月 其他开发语言大版内专家分月排行榜第三2013年4月 PHP大版内专家分月排行榜第三2013年3月 其他开发语言大版内专家分月排行榜第三2011年5月 PHP大版内专家分月排行榜第三
本帖子已过去太久远了，不再提供回复功能。服务器被黑给我上了一课
在这里面，并没有发现什么异常的流量和往外的出口连接，又进行了一些常规检查，也没有发现特别异常的问题。
# 查看有无异常进程
# 查看系统资源占用有无异常
# 有没有新增异常用户
$ cat /etc/passwd
#查看了root用户的命令历史记录,当然这个对稍有经验黑客是没有意义的，拿到了root权限后可以清理任何痕迹
我知道接下来需呀做的两件事情，修改root及我当前用户的用户名密码及把入侵者踢下去。在修改了服务器的密码后，我在终端上输入了下面两个命令.
$ write chengkai pts/4
what are you fucking about
# 踢掉在线终端
$ pkill -kill -t pts/4
第一个命令是向入侵者发送一条信息&what are you fucking about&，而第二条命令紧接着把入侵者踢了下去。这时候不免有了一丝满足感，可以想象对方收到消息并被我踢下终端时的表情，当然我想他可能不会这么容易善罢甘休。（其实我知道这种挑衅是蛮危险的，对方曾经拿到了root用户权限，如果在某个地方设置了一些后门会非常难以发现,系统很容易会被再次攻破)。 我打开了认证日志静静等待对方的再次破解登录，果然对方很快就来了，而且是发动了不同的主机进行ssh暴力破解。
Received disconnect from 222.186.21.243: 11:
May 18 14:36:52 localhost sshd[16428]: PAM 2 more aut logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.21.243
May 18 14:36:54 localhost sshd[16432]: pam_unix(sshd:auth): au logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.21.243
May 18 14:36:56 localhost sshd[16432]: Failed password for root from 222.186.21.243 port 56722 ssh2
May 18 14:37:01 localhost sshd[16432]: message repeated 2 times: [ Failed password for root from 222.186.21.243 port 56722 ssh2]
May 18 14:37:01 localhost sshd[16432]: Received disconnect from 222.186.21.243: 11:
May 18 14:37:01 localhost sshd[16432]: PAM 2 more aut logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.21.243
May 18 14:37:03 localhost sshd[16438]: pam_unix(sshd:auth): au logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.21.243
May 18 14:37:05 localhost sshd[16438]: Failed password for root from 222.186.21.243 port 45780 ssh2
May 18 14::42:26 localhost sshd[18573]: Received disconnect from 222.186.21.244: 11:
May 18 14::42:26 localhost sshd[18573]: PAM 2 more aut logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.21.244
May 18 14::42:29 localhost sshd[18579]: pam_unix(sshd:auth): au logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.21.244
May 18 14::42:30 localhost sshd[18579]: Failed password for root from 222.186.21.244 port 38062 ssh2
May 18 14::42:35 localhost sshd[18579]: message repeated 2 times: [ Failed password for root from 222.186.21.244 port 38062 ssh2]
May 18 14::42:35 localhost sshd[18579]: Received disconnect from 222.186.21.244: 11:
May 18 14::42:35 localhost sshd[18579]: PAM 2 more aut logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.21.244
May 18 14::42:39 localhost sshd[18585]: pam_unix(sshd:auth): au logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.21.244
May 18 14::42:41 localhost sshd[18585]: Failed password for root from 222.186.21.244 port 50864 ssh2
May 18 14::42:47 localhost sshd[18585]
某种意义上来讲这是好事，因为这说明对方并还没有来得及安置后门程序，只能采取暴力破解的方式。那么接下来我要做的事情就是把对方IP加入到 &hosts.deny&
ALL:110.164.67.47
ALL:222.89.166.12
ALL:221.229.166.30
ALL:58.218.205.69
ALL:58.218.204.239
ALL:58.218.211.155
ALL:222.186.21.236
ALL:58.218.204.225
ALL:58.218.204.241
由于暴力破解黑客首先会尝试root 用户，所以还要禁止root ssh登录,修改sshd_conf文件。
$ sudo vi /etc/ssh/sshd_config
#把PermitRootLogin 属性 yes 改为 no
PermitRootLogin no
到此，我能想到的检测及阻止对方的手段已经差不多了，是时候对一个最起码的安全意识做个总结了。
设置用户名密码一定要大小写字母数字及一些特殊符号的组合，增加暴力破解的难度,有可能的话可以定期更换密码。
禁止ssh root 登录
定期维护hosts.deny文件，可以选择安装一些第三方的工具自动根据一些规则维护hosts.deny 比如 &DenyHosts&
为了避免黑客扫描已知服务器程序端口漏洞，修改服务程序的默认端口好，比如ssh服务不使用22端口
设置 iptables 开启一些通用的防火墙规则，ubuntu系统可以使用 ufw
还好这次事件也没有给我造成太大的影响和损失，反而让我加强了一些安全意识，对于菜鸟级的黑客还是能够抵挡一阵子的。欢迎跟帖讨论，你了解的一些入侵监测手段和防范方法，谢谢。&&&[2]&
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】