Перед запуском своего сервера, проверьте, а защищен ли он?
RCON, плюсы и минусы, стоит ли использовать.
Для начала, а вообще, зачем нужен RCON?
RCON - используется, везде, почти на каждом сервере, после удачного ввода пароля, дает доступ кикать / банить и проводить различные админ манипуляции над пользователями.
1) Стоит ли использовать RCON у себя на сервере? Какие плюсы?
+Стандартная админка, не придется ставить или писать различные скрипты админок.
+Не нагружает сервер.
+Собраны все необходимые для администратирования.
+Маскированная админка.
2) Не стоит? Какие минусы?
-Админка не разделяется по уровням.
-Некрасивая админка, не оповещает пользователей о кике или бане.
Уязвимости использования RCON пароля на своем сервере.
УЯЗВИМОСТЬ: RCON пароль не шифруется, что делает его уязвимым для брута.
РЕШЕНИЕ: Установка более сложного пароля вида, fhF3Hrn$hfm$3kf и т.д.
УЯЗВИМОСТЬ: Подтвергает сервер DDoS атаке, методом вызова падения сервера (брут).
РЕШЕНИЕ: Отключить RCON на сервере, rcon 0 в server.cfg
MySQL, плюсы и минусы, стоит ли использовать.
Что такое MySQL, я подробно описываю в этом уроке.Данный пункт темы, только для тех кто все же решил использовать MySQL.
1) Стоит ли использовать MySQL? Какие плюсы?
+Удобное и быстрое администратирование аккаунтов на сервере.
+Быстрая скорость работы.
+Не вызывает падение сервера, из за потери файлов.
+Не требует наличие файлов и папок для хранения аккаунтов.
+Хорошо подходит для создания статистики на сайте.
2) Не стоит? Какие минусы?
-Долгое считывание значений из за перегрузки.
-Нагрузка на MySQL сервер.
-Сбои в запросах.
-Нужен акуратный скриптинг.
-Обращение к серверу при каждой команде, запрос.
-Не все хостеры поддерживают MySQL базы данных.
Уязвимости использования MySQL, как место для хранение пароль, значений игрока.
УЯЗВИМОСТЬ: SQL иньекции, на сайте - получение доступа в БД.
РЕШЕНИЕ: Не использование самописных движок, а проверенных.
УЯЗВИМОСТЬ: Перехват пакетов которые посылает плагин(редко, потому что сложно).
РЕШЕНИЕ: Нет решения, хотя можно выучить DevTool++ и встроить защиту.
УЯЗВИМОСТЬ: Подгрузка самописного шелла под SA-MP на веб - сервер (редко).
РЕШЕНИЕ: Запрет залития файлов на веб-сервер через сайт.
SQLite, плюсы и минусы, стоит ли использовать.
Данный пункт темы, только для тех кто все же решил использовать SQLite как место хранение аккаунтов.
1) Стоит ли использовать SQLite у себя на сервере? Какие плюсы?
+Быстрая работа.
+Удобное администратирование, возможно ручное а возможно и через программу.
+1 файл для хранения всего.
+Идет в комплекте с сервером.
2) Не стоит? Какие минусы?
-При большом размере файла, для хранения информации (*.BD) долгое считывание.
-Некрасивая админка, не оповещает пользователей о кике или бане.
Уязвимости использования SQLite, как самый удобный вид администратирования.
УЯЗВИМОСТЬ: Перегрузка запросов в базе.
РЕШЕНИЕ: Уменьшение количества запросов в коде, оптимизация.
Пакеты, самый сложный и верный тип атаки.
Самым сложным видом атаки, является посылки и подменов пакетов, а точнее сначало их отслеживание при помощи снифера.
Виды атаки на сервер, с помощью подмена пакетов.
АТАКА: Посылка пакетов набитых памятью, своего рода DDoS.
РЕШЕНИЕ: Решения нет, это стандартная функция Windows, для вас это не страшно.
АТАКА: Посылка левых пакетов на сам SAMP-Server.Не разу не замечал, но думаю возможно.
РЕШЕНИЕ: Решение не нужно, так как используется это редко.
АТАКА: Посылка левых запросов у клиента на сервер.
РЕШЕНИЕ: Плагины для защиты сервера.
АТАКА: Забивание ботами.Типичный DDoS.
РЕШЕНИЕ: Опасности не предоставляет, хотя в целях защиты - в OnPlayerUpdate проверку на пинг.
О пакетах, подробнее.
Диагностика, проверяем свой сервер на дырки.
1) Проверяем на узвимость брута и сложность RCON пароля.
Качаем с Darevox'а, брут для сервера SA-MP.
Инструкция по использованию:
1) Запускаете программу
2) Вводите в соотвецтвующее строки IP и Порт сервера,пароль которого хотите взломать.
3) Нажимаете Start, ждете.
4) Появляется пароль.
Желательно вводить свой IP, и что-бы ваш сервер был запущен на вашем компьтере ( так меньше придется ждать ).
ВНИМАНИЕ, если на вашем сервере отключен RCON ( rcon 0 ), то программа не будет его атаковать.
Если программа начала атаку вы будете видеть большое количество одного и тоже сообщения в окне сервера, вида:
BAD RCON ATTEMPT...
По сути дела, сервер должен будет повиснуть
Что-бы не могли атаковать вас таким брутом:
Прописываем в server.cfg:
rcon 0
( мы отключаем использование RCON пароля на сервере ).
2) Шаг для тех у кого стоит привязка сервера к MySQL.
-Если вы указывали простой пароль при установке веб - сервера, то обязательно смените его!
Пароль можно сменить в файле C:\AppServ\www\phpMyAdmin\config.inc.php, откройте его через Notepad++, и найдите 75 строку:
Код: Выделить всё
$cfg['Servers'][$i]['password'] = ''; // MySQL password (only needed
Установите свой пароль, пример:
Код: Выделить всё
$cfg['Servers'][$i]['password'] = 'fgjhf4nDh2nD82HdfnOe; // MySQL password (only needed
И сохраните, так же можно сменить в 74 строке, имя пользователя.