Защита сервера SAMP от хакеров.

Описание: Помощь, подсказки

LILUS M
Автор темы, Старшина
Старшина
Аватара
LILUS M
Автор темы, Старшина
Старшина
Сообщения: 136
Зарегистрирован: 2 мая 2013
С нами: 10 лет 10 месяцев

#1 LILUS » 9 ноября 2014, 12:12

Перед запуском своего сервера, проверьте, а защищен ли он?


RCON, плюсы и минусы, стоит ли использовать.

Для начала, а вообще, зачем нужен RCON?
RCON - используется, везде, почти на каждом сервере, после удачного ввода пароля, дает доступ кикать / банить и проводить различные админ манипуляции над пользователями.

1) Стоит ли использовать RCON у себя на сервере? Какие плюсы?
+Стандартная админка, не придется ставить или писать различные скрипты админок.
+Не нагружает сервер.
+Собраны все необходимые для администратирования.
+Маскированная админка.

2) Не стоит? Какие минусы?
-Админка не разделяется по уровням.
-Некрасивая админка, не оповещает пользователей о кике или бане.


Уязвимости использования RCON пароля на своем сервере.

УЯЗВИМОСТЬ: RCON пароль не шифруется, что делает его уязвимым для брута.
РЕШЕНИЕ: Установка более сложного пароля вида, fhF3Hrn$hfm$3kf и т.д.

УЯЗВИМОСТЬ: Подтвергает сервер DDoS атаке, методом вызова падения сервера (брут).
РЕШЕНИЕ: Отключить RCON на сервере, rcon 0 в server.cfg




MySQL, плюсы и минусы, стоит ли использовать.

Что такое MySQL, я подробно описываю в этом уроке.Данный пункт темы, только для тех кто все же решил использовать MySQL.

1) Стоит ли использовать MySQL? Какие плюсы?
+Удобное и быстрое администратирование аккаунтов на сервере.
+Быстрая скорость работы.
+Не вызывает падение сервера, из за потери файлов.
+Не требует наличие файлов и папок для хранения аккаунтов.
+Хорошо подходит для создания статистики на сайте.

2) Не стоит? Какие минусы?
-Долгое считывание значений из за перегрузки.
-Нагрузка на MySQL сервер.
-Сбои в запросах.
-Нужен акуратный скриптинг.
-Обращение к серверу при каждой команде, запрос.
-Не все хостеры поддерживают MySQL базы данных.

Уязвимости использования MySQL, как место для хранение пароль, значений игрока.

УЯЗВИМОСТЬ: SQL иньекции, на сайте - получение доступа в БД.
РЕШЕНИЕ: Не использование самописных движок, а проверенных.

УЯЗВИМОСТЬ: Перехват пакетов которые посылает плагин(редко, потому что сложно).
РЕШЕНИЕ: Нет решения, хотя можно выучить DevTool++ и встроить защиту.

УЯЗВИМОСТЬ: Подгрузка самописного шелла под SA-MP на веб - сервер (редко).
РЕШЕНИЕ: Запрет залития файлов на веб-сервер через сайт.




SQLite, плюсы и минусы, стоит ли использовать.
Данный пункт темы, только для тех кто все же решил использовать SQLite как место хранение аккаунтов.

1) Стоит ли использовать SQLite у себя на сервере? Какие плюсы?
+Быстрая работа.
+Удобное администратирование, возможно ручное а возможно и через программу.
+1 файл для хранения всего.
+Идет в комплекте с сервером.

2) Не стоит? Какие минусы?
-При большом размере файла, для хранения информации (*.BD) долгое считывание.
-Некрасивая админка, не оповещает пользователей о кике или бане.

Уязвимости использования SQLite, как самый удобный вид администратирования.

УЯЗВИМОСТЬ: Перегрузка запросов в базе.
РЕШЕНИЕ: Уменьшение количества запросов в коде, оптимизация.




Пакеты, самый сложный и верный тип атаки.

Самым сложным видом атаки, является посылки и подменов пакетов, а точнее сначало их отслеживание при помощи снифера.

Виды атаки на сервер, с помощью подмена пакетов.

АТАКА: Посылка пакетов набитых памятью, своего рода DDoS.
РЕШЕНИЕ: Решения нет, это стандартная функция Windows, для вас это не страшно.

АТАКА: Посылка левых пакетов на сам SAMP-Server.Не разу не замечал, но думаю возможно.
РЕШЕНИЕ: Решение не нужно, так как используется это редко.

АТАКА: Посылка левых запросов у клиента на сервер.
РЕШЕНИЕ: Плагины для защиты сервера.

АТАКА: Забивание ботами.Типичный DDoS.
РЕШЕНИЕ: Опасности не предоставляет, хотя в целях защиты - в OnPlayerUpdate проверку на пинг.

О пакетах, подробнее.


Диагностика, проверяем свой сервер на дырки.
1) Проверяем на узвимость брута и сложность RCON пароля.
Качаем с Darevox'а, брут для сервера SA-MP.
Инструкция по использованию:
1) Запускаете программу
2) Вводите в соотвецтвующее строки IP и Порт сервера,пароль которого хотите взломать.
3) Нажимаете Start, ждете.
4) Появляется пароль.
Желательно вводить свой IP, и что-бы ваш сервер был запущен на вашем компьтере ( так меньше придется ждать ).
ВНИМАНИЕ, если на вашем сервере отключен RCON ( rcon 0 ), то программа не будет его атаковать.
Если программа начала атаку вы будете видеть большое количество одного и тоже сообщения в окне сервера, вида:
BAD RCON ATTEMPT...
По сути дела, сервер должен будет повиснуть

Что-бы не могли атаковать вас таким брутом:
Прописываем в server.cfg:
rcon 0
( мы отключаем использование RCON пароля на сервере ).

2) Шаг для тех у кого стоит привязка сервера к MySQL.
-Если вы указывали простой пароль при установке веб - сервера, то обязательно смените его!
Пароль можно сменить в файле C:\AppServ\www\phpMyAdmin\config.inc.php, откройте его через Notepad++, и найдите 75 строку:

Код: Выделить всё

$cfg['Servers'][$i]['password']      = '';          // MySQL password (only needed     


Установите свой пароль, пример:

Код: Выделить всё

$cfg['Servers'][$i]['password']      = 'fgjhf4nDh2nD82HdfnOe;          // MySQL password (only needed


И сохраните, так же можно сменить в 74 строке, имя пользователя.


  • Похожие темы
    Ответы
    Просмотры
    Последнее сообщение

Вернуться в «F.A.Q»

Кто сейчас на форуме (по активности за 5 минут)

Сейчас этот раздел просматривают: 5 гостей