Добро пожаловать

Для полноценного пользования форумом и общения с его участниками, пройдите регистрацию ниже
Регистрация

Защита серверов от взлома

Тема в разделе "Свалка", создана пользователем cs116650, 30 авг 2014.

  1. cs116650

    cs116650 Пользователь

    51
    18
    80
    Защита серверов от взлома

    Вымогателей и злодеев полно как в реальном мире так и в виртуальном, это касается и серверов по играм. Мотивации у горе-ироков бывают разные, например, несправедливо забанил админ или просто надменность и жажда власти, в общем причин может быть очень много, но результат один - отомстить и показать всем кто в доме хозяин. И так, что же делать, если под вас все же подкопали и сервера начинают вести себя по странному? А горе вымогатель клянется что вам ппц, если вы не выполните его условия.

    Первое, что надо сделать - это просто перестать с ним вообще разговаривать, в игнор.
    Естественно самый простой способ поставить его на место - это найти дырку которую он использовал для нанесения вреда вашим серверам. Из нашего личного опыта известны такие случаи как:
    1. Кража паролей воспользовавшись доверием руководства.
    2. Подбор легкого ркон пароля программой (брут).
    3. Файлы с паролем или базы доступны из интернета.
    4. Плагины без исходников с бэкдорами (csf_anticheat), которые шлют ваш ркон автору плагина
    5. Уязвимости самого сервера (HLDS) или дополнений (metamod, dproto, amx)

    Второе, что надо сделать - это забанить подсеть злоумышленника через addip. В первом и втором случае все просто, если у вас просто 1 сервер без сайта и прочего - смените все пароли на более сложные с цифрами и буквы с разным регистром. Если новый пароль взломали очень быстро, значит это случай 3 или 4. Возможно некоторые новички из вас озадачились вопросом "Как вообще узнать взломали ли ркон?". Очень просто - в консоле сервера будет высвечиваться что-то вроде rcon command from 192.168.0.1, или включите логи (log on) а потом просмотрите их. Далее по пункту 3 проверьте так сказать "быструю закачку по http", если она у вас есть, не попал ли туда файл server.cfg, sql.cfg, users.ini и другие хранящие конфиденциальную информацию, если у вас база mysql создавайте пользователей которые имеют право подключаться только с известных вам ip адресов. Далее пункт 4 - отключите все плагины и ставьте только либо самые простенькие, либо просматривайте исходник на наличие строчи вроде
    get_cvar_string("rcon_password", rcon, 128) Нормальным плагинам не нужно знать значение переменной rcon_password.

    Если ваш сервер постоянно падает или перезагружается:
    Включите логи и просмотрите последние строчки перед падением.
    Найдите какую-нибудь ключевую фразу и воспользуйтесь яндексом
    Отключите все дополнения и, если перестанет падать, включайте по одному.
    Обновления выходят не просто так, а обычно в них есть заплатки на уязвимости, поэтому всегда используйте последний билд и последнюю версию dproto (обычно этим все решается)
    Отфильтруйте файлы по дате изменения в папке сервера и просмотрите через блокнот измененные без вашего ведома.
    Поставьте другую сборку на тот же порт и проверьте будет ли падать
     
  2. max_by_crimea_82rus

    max_by_crimea_82rus Пользователь

    42
    1
    40
    У меня на сервере появился незнакомый чел у которого есть все права админа, но я его в первые вижу!!!!