Перед запуском своего сервера, проверьте, а защищен ли он? - 13 Июня 2012

Главная » » Перед запуском своего сервера, проверьте, а защищен ли он?

03:11 Перед запуском своего сервера, проверьте, а защищен ли он?
Перед запуском своего сервера, проверьте, а защищен ли он? RCON, плюсы и минусы, стоит ли использовать. Для начала, а вообще, зачем нужен RCON? RCON - используется, везде, почти на каждом сервере, после удачного ввода пароля, дает доступ кикать / банить и проводить различные админ манипуляции над пользователями. 1) Стоит ли использовать RCON у себя на сервере? Какие плюсы? +Стандартная админка, не придется ставить или писать различные скрипты админок. +Не нагружает сервер. +Собраны все необходимые для администратирования. +Маскированная админка. 2) Не стоит? Какие минусы? -Админка не разделяется по уровням. -Некрасивая админка, не оповещает пользователей о кике или бане. Уязвимости использования RCON пароля на своем сервере. УЯЗВИМОСТЬ: RCON пароль не шифруется, что делает его уязвимым для брута. РЕШЕНИЕ: Установка более сложного пароля вида, fhF3Hrn$hfm$3kf и т.д. УЯЗВИМОСТЬ: Подтвергает сервер DDoS атаке, методом вызова падения сервера (брут). РЕШЕНИЕ: Отключить RCON на сервере, rcon 0 в server.cfg MySQL, плюсы и минусы, стоит ли использовать. Что такое MySQL, я подробно описываю в этом уроке (http://pawno-info.ru/threads/3801-MySQL-SQLite-E-mail-PHP-%D0%B8-SA-MP.).Данный пункт темы, только для тех кто все же решил использовать MySQL. 1) Стоит ли использовать MySQL? Какие плюсы? +Удобное и быстрое администратирование аккаунтов на сервере. +Быстрая скорость работы. +Не вызывает падение сервера, из за потери файлов. +Не требует наличие файлов и папок для хранения аккаунтов. +Хорошо подходит для создания статистики на сайте. 2) Не стоит? Какие минусы? -Долгое считывание значений из за перегрузки. -Нагрузка на MySQL сервер. -Сбои в запросах. -Нужен акуратный скриптинг. -Обращение к серверу при каждой команде, запрос. -Не все хостеры поддерживают MySQL базы данных. Уязвимости использования MySQL, как место для хранение пароль, значений игрока. УЯЗВИМОСТЬ: SQL иньекции, на сайте - получение доступа в БД. РЕШЕНИЕ: Не использование самописных движок, а проверенных. УЯЗВИМОСТЬ: Перехват пакетов которые посылает плагин(редко, потому что сложно). РЕШЕНИЕ: Нет решения, хотя можно выучить DevTool++ и встроить защиту. УЯЗВИМОСТЬ: Подгрузка самописного шелла под SA-MP на веб - сервер (редко). РЕШЕНИЕ: Запрет залития файлов на веб-сервер через сайт. SQLite, плюсы и минусы, стоит ли использовать. Данный пункт темы, только для тех кто все же решил использовать SQLite как место хранение аккаунтов. 1) Стоит ли использовать SQLite у себя на сервере? Какие плюсы? +Быстрая работа. +Удобное администратирование, возможно ручное а возможно и через программу. +1 файл для хранения всего. +Идет в комплекте с сервером. 2) Не стоит? Какие минусы? -При большом размере файла, для хранения информации (*.BD) долгое считывание. -Некрасивая админка, не оповещает пользователей о кике или бане. Уязвимости использования SQLite, как самый удобный вид администратирования. УЯЗВИМОСТЬ: Перегрузка запросов в базе. РЕШЕНИЕ: Уменьшение количества запросов в коде, оптимизация. Пакеты, самый сложный и верный тип атаки. Самым сложным видом атаки, является посылки и подменов пакетов, а точнее сначало их отслеживание при помощи снифера. Виды атаки на сервер, с помощью подмена пакетов. АТАКА: Посылка пакетов набитых памятью, своего рода DDoS. РЕШЕНИЕ: Решения нет, это стандартная функция Windows, для вас это не страшно. АТАКА: Посылка левых пакетов на сам SAMP-Server.Не разу не замечал, но думаю возможно. РЕШЕНИЕ: Решение не нужно, так как используется это редко. АТАКА: Посылка левых запросов у клиента на сервер. РЕШЕНИЕ: Плагины для защиты сервера. АТАКА: Забивание ботами.Типичный DDoS. РЕШЕНИЕ: Опасности не предоставляет, хотя в целях защиты - в OnPlayerUpdate проверку на пинг. О пакетах, подробнее (http://wiki.sa-mp.com/wiki/Query_Mechanism#RCON_Packets). Диагностика, проверяем свой сервер на дырки. 1) Проверяем на узвимость брута и сложность RCON пароля. Качаем с Darevox'а, брут для сервера SA-MP (http://ns.darevox.ru/crack.rar). Инструкция по использованию: 1) Запускаете программу 2) Вводите в соотвецтвующее строки IP и Порт сервера,пароль которого хотите взломать. 3) Нажимаете Start, ждете. 4) Появляется пароль. Желательно вводить свой IP, и что-бы ваш сервер был запущен на вашем компьтере ( так меньше придется ждать ). ВНИМАНИЕ, если на вашем сервере отключен RCON ( rcon 0 ), то программа не будет его атаковать. Если программа начала атаку вы будете видеть большое количество одного и тоже сообщения в окне сервера, вида: BAD RCON ATTEMPT... По сути дела, сервер должен будет повиснуть :-) Что-бы не могли атаковать вас таким брутом: Прописываем в server.cfg: rcon 0 ( мы отключаем использование RCON пароля на сервере ). 2) Шаг для тех у кого стоит привязка сервера к MySQL. -Если вы указывали простой пароль при установке веб - сервера, то обязательно смените его! Пароль можно сменить в файле C:\AppServ\www\phpMyAdmin\config.inc.php, откройте его через Notepad++, и найдите 75 строку: $cfg['Servers'][$i]['password'] = ''; // MySQL password (only needed Установите свой пароль, пример: $cfg['Servers'][$i]['password'] = 'fgjhf4nDh2nD82HdfnOe; // MySQL password (only needed И сохраните, так же можно сменить в 74 строке, имя пользователя. Конец. Помните, что лучше перенатворить, чем не доделать. С вами был q0b3rMAN. Для диагностики защиты вашего сервера, обращайтесь в ЛС - бесплатно! :) pawno-info.ru - первое место где была опубликована данная статья.
Просмотров: 515 \| Добавил: Adriano_Celentano