入侵R星服务器，泄露《GTA6》的黑客被捕，他为何会有如此举动？

《Gta6》这个游戏一直都是比较受欢迎的，但是在发生了泄露事件之后，也对这个游戏的开发商产生了很严重的影响，入侵R星服务器的人也被抓捕了起来，对方只是一个16岁的未成年，也属于黑客组织当中的一员。美国的 FBI以及司法部门都介入到了这件事情之后，并展开了调查。网络犯罪在美国也是很严重的一个行为，但是在被拘留之后，很多人都觉得警方这也属于变相的保护。这个黑客之所以会有这样的举动，也是因为有幕后 *** 控者，这个未成年背后的组织也曾入侵过很多巨头公司，比如苹果，英伟达，三星等。

这款游戏在世界上的知名度也是比较高的，而且《 GTa5》在商业化当中也是最成功的，这款游戏在发售之后的销售额度也达到了16亿，整体营收额在60亿美元左右。这款游戏的开发时间也将近10年，明确依旧可以进入到销售榜单当中。

大部分的玩家都比较期待《 Gta6》的发布，而这款游戏在R星也一直都处于研发当中，如果没有被入侵的话，相信也是可以如期上线的，但是在信息遭到泄露之后，这款游戏也需要延期。游戏的开发者也会继续按照原本的计划进行，但是泄密事件本身就很重大，对R星也造成了不可挽回的损失。

这个黑客在入侵之前就已经掌握了源代码跟测试版本，并且还想勒索R星，如果没有达到想要的，就会选择泄露游戏信息。这对于一个游戏公司来说，也算是一个噩梦了，《 Gta6》也一直都没有完成，在开发的过程中也是比较小心谨慎的，但还是出现了泄露的情况，也导致整个团队都出现了士气低落的现象。

应该是《境界触发者》。哟~谢谢~

剧情简介：

三门市，人口28万人。某一天，通往异世界的门在这里打开了。

从异世界而来的侵略者“近界民”，任意蹂躏门附近的地区，让整座都市陷入恐惧之中。 就在每个人都认为都市毁灭只是早晚的问题时，突然出现一个神秘的团体击退了近界民。 被称为境界防卫组织“BORDER”的他们，在这边的世界建立了巨大的基地，以对抗陆续来袭的近界民。

四年后，近界民空闲游真从异世界来到日本寻找父亲的熟人，并认识了三云修。 修为了解近界民的真相，决定指引及监视人生路不熟的游真，两人的故事随着“BORDER”与“近界民”的战斗展开。

1、入侵者入侵后一般会开服务器的3389，建立隐藏用户，然后登录。我们只要到c:documents
and
settings这个目录下看看是否有可以的用户名就可以了，不管是不是隐藏的用户，都会在这里显示出来。
2、有些入侵者喜欢留一个有高权限的sqlserver数据库用户，当作后门，我们可以打开登陆sqlserver的查询分析器，然后依次打开master--系统表--dbosysxlogins（sqlserver2000下，sql2005和2008下，小王没找到如何查看数据库用户的方法，如果您知道请指点），在这个窗口的name列中可以看到sqlserver数据库的用户，一般情况下会有3个用户，一个是sa，一个builtinadministrators，还有一个是null，如果还存在其他用户，就有可能是被人入侵了或者是我上面讲的那些情况，就需要注意点了，当然不一定就那三个用户，小王还见过name下有多个sa和null的，但不知道是怎么回事，具体问题还需要具体分析。

这里简单介绍一下吧，主要从5个方面来判断服务器是否被入侵，感兴趣的朋友可以尝试一下：

01

查看当前登录用户

这种方式最简单也最基本，查看当前登录服务器的用户，如果有异常用户或IP地址正在登录，则说明服务器很可能被入侵，命令的话，使用w，who，users等都可以：

02

查看历史登录记录

服务器会记录曾经登录过的用户和IP，以及登录时间和使用时长，如果有异常用户或IP地址曾经登录过，就要注意了，服务器很可能被入侵，当然，对方为了掩盖登录，会清空/var/log/wtmp日志文件，要是你运行了last命令，只有你一个人登录，而你又从来没清空过记录，说明被入侵了：

03

查看特别消耗CPU进程

一般情况下，服务器被入侵后，对方通常会执行一些非常消耗CPU任务或程序，这时你就可以运行top命令，查看进程使用CPU的情况，如果有异常进程非常消耗CPU，而你又从来没有执行过这个任务，说明服务器很可能被入侵了：

04

检查所有系统进程

消耗CPU不严重或者未经授权的进程，一般不会在top命令中显示出来，这时你就需要运行“psauxf”命令检查所有系统进程，如果有异常进程在后台悄悄运行，而你又从来没有执行过，这时就要注意了，服务器很可能被入侵了：

05

查看端口进程网络连接

通常攻击者会安装一个后门程序（进程）专门用于监听网络端口收取指令，该进程在等待期间不会消耗CPU和带宽，top命令也难以发现，这时你就可以运行“netstat-plunt”命令，查看当前系统端口、进程的网络连接情况，如果有异常端口开放，就需要注意了，服务器很可能被入侵：

目前，就分享这5个方面来判断服务器是否被入侵，当然，服务器如果已经被入侵，你就需要赶在对方发现你之前夺回服务器的控制权，然后修改密码、设定权限、限定IP登录等，网上也有相关教程和资料，介绍的非常详细，感兴趣的话，可以搜一下，希望以上分享的内容能对你有所帮助吧，也欢迎大家评论、留言进行补充。

这么不小心，留下这些东西，那家伙技术含量估计不怎么样，肯定是通过旁注软件注入的。
你下个旁注软件扫描下。如：阿D旁注 ，一定要找出后门
另外检查一下文件，看有木有新文件，也可能是后门。
把服务器权限设置好，即使注入了也只能查看，不能修改内容。

你这种问题很难回答的，只能给你简单答一下。
1、怎么入侵的
你的是服务器，架上internet上，大家都可以访问。服务器为了方便别人访问，总会开启一些服务如>

安全总是相对的，再安全的服务器也有可能遭受到攻击。作为一个安全运维人员，要把握的原则是：尽量做好系统安全防护，修复所有已知的危险行为，同时，在系统遭受攻击后能够迅速有效地处理攻击行为，最大限度地降低攻击对系统产生的影响。

一、处理服务器遭受攻击的一般思路

系统遭受攻击并不可怕，可怕的是面对攻击束手无策，下面就详细介绍下在服务器遭受攻击后的一般处理思路。

1切断网络

所有的攻击都来自于网络，因此，在得知系统正遭受黑客的攻击后，首先要做的就是断开服务器的网络连接，这样除了能切断攻击源之外，也能保护服务器所在网络的其他主机。

2查找攻击源

可以通过分析系统日志或登录日志文件，查看可疑信息，同时也要查看系统都打开了哪些端口，运行哪些进程，并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。

3分析入侵原因和途径

既然系统遭到入侵，那么原因是多方面的，可能是系统漏洞，也可能是程序漏洞，一定要查清楚是哪个原因导致的，并且还要查清楚遭到攻击的途径，找到攻击源，因为只有知道了遭受攻击的原因和途径，才能删除攻击源同时进行漏洞的修复。

4备份用户数据

在服务器遭受攻击后，需要立刻备份服务器上的用户数据，同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中，一定要彻底删除，然后将用户数据备份到一个安全的地方。

5重新安装系统

永远不要认为自己能彻底清除攻击源，因为没有人能比黑客更了解攻击程序，在服务器遭到攻击后，最安全也最简单的方法就是重新安装系统，因为大部分攻击程序都会依附在系统文件或者内核中，所以重新安装系统才能彻底清除攻击源。

6修复程序或系统漏洞

在发现系统漏洞或者应用程序漏洞后，首先要做的就是修复系统漏洞或者更改程序bug，因为只有将程序的漏洞修复完毕才能正式在服务器上运行。

7恢复数据和连接网络

将备份的数据重新复制到新安装的服务器上，然后开启服务，最后将服务器开启网络连接，对外提供服务。

二、检查并锁定可疑用户

当发现服务器遭受攻击后，首先要切断网络连接，但是在有些情况下，比如无法马上切断网络连接时，就必须登录系统查看是否有可疑用户，如果有可疑用户登录了系统，那么需要马上将这个用户锁定，然后中断此用户的远程连接。

1登录系统查看可疑用户

通过root用户登录，然后执行“w”命令即可列出所有登录过系统的用户，如下图所示。

通过这个输出可以检查是否有可疑或者不熟悉的用户登录，同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。

2锁定可疑用户

一旦发现可疑用户，就要马上将其锁定，例如上面执行“w”命令后发现nobody用户应该是个可疑用户(因为nobody默认情况下是没有登录权限的)，于是首先锁定此用户，执行如下 *** 作：

[root@server ~]# passwd -l nobody

锁定之后，有可能此用户还处于登录状态，于是还要将此用户踢下线，根据上面“w”命令的输出，即可获得此用户登录进行的pid值， *** 作如下：

[root@server ~]# ps -ef|grep @pts/3

531 6051 6049 0 19:23 00:00:00 sshd: nobody@pts/3

[root@server ~]# kill -9 6051

这样就将可疑用户nobody从线上踢下去了。如果此用户再次试图登录它已经无法登录了。

3通过last命令查看用户登录事件

last命令记录着所有用户登录系统的日志，可以用来查找非授权用户的登录事件，而last命令的输出结果来源于/var/log/wtmp文件，稍有经验的入侵者都会删掉/var/log/wtmp以清除自己行踪，但是还是会露出蛛丝马迹在此文件中的。

三、查看系统日志

查看系统日志是查找攻击源最好的方法，可查的系统日志有/var/log/messages、/var/log/secure等，这两个日志文件可以记录软件的运行状态以及远程用户的登录状态，还可以查看每个用户目录下的bash_history文件，特别是/root目录下的bash_history文件，这个文件中记录着用户执行的所有历史命令。

四、检查并关闭系统可疑进程

检查可疑进程的命令很多，例如ps、top等，但是有时候只知道进程的名称无法得知路径，此时可以通过如下命令查看：

首先通过pidof命令可以查找正在运行的进程PID，例如要查找sshd进程的PID，执行如下命令：

然后进入内存目录，查看对应PID目录下exe文件的信息：

这样就找到了进程对应的完整执行路径。如果还有查看文件的句柄，可以查看如下目录：

[root@server ~]# ls -al /proc/13276/fd

通过这种方式基本可以找到任何进程的完整执行信息，此外还有很多类似的命令可以帮助系统运维人员查找可疑进程。例如，可以通过指定端口或者tcp、udp协议找到进程PID，进而找到相关进程：

在有些时候，攻击者的程序隐藏很深，例如rootkits后门程序，在这种情况下ps、top、netstat等命令也可能已经被替换，如果再通过系统自身的命令去检查可疑进程就变得毫不可信，此时，就需要借助于第三方工具来检查系统可疑程序，例如前面介绍过的chkrootkit、RKHunter等工具，通过这些工具可以很方便的发现系统被替换或篡改的程序。

五、检查文件系统的完好性

检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法，例如可以检查被入侵服务器上/bin/ls文件的大小是否与正常系统上此文件的大小相同，以验证文件是否被替换，但是这种方法比较低级。此时可以借助于Linux下rpm这个工具来完成验证， *** 作如下：

对于输出中每个标记的含义介绍如下：

S 表示文件长度发生了变化M 表示文件的访问权限或文件类型发生了变化5 表示MD5校验和发生了变化D 表示设备节点的属性发生了变化L 表示文件的符号链接发生了变化U 表示文件/子目录/设备节点的owner发生了变化G 表示文件/子目录/设备节点的group发生了变化T 表示文件最后一次的修改时间发生了变化

如果在输出结果中有“M”标记出现，那么对应的文件可能已经遭到篡改或替换，此时可以通过卸载这个rpm包重新安装来清除受攻击的文件。

不过这个命令有个局限性，那就是只能检查通过rpm包方式安装的所有文件，对于通过非rpm包方式安装的文件就无能为力了。同时，如果rpm工具也遭到替换，就不能通过这个方法了，此时可以从正常的系统上复制一个rpm工具进行检测。

对文件系统的检查也可以通过chkrootkit、RKHunter这两个工具来完成，关于chkrootkit、RKHunter工具的使用，下次将展开介绍。

---