Защита от взлома дато базы Скулл через vpn
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Защита от взлома дато базы Скулл через vpn - 2011-04-22 02:29:23.770000
|
|
|
Сашка4321
Сообщений: 4
Оценки: 0
Присоединился: 2011-04-22 02:15:48.310000
|
доброго времени суток
начну с проблемы: Я играю на приватном онлайн-сервере (Пиратия), База Данных сервера стоит на SQL 2000. Имеется авторега аккаунтов. В последнее время сервер стал взламывать какой-то "шустрик", вот что он делает: Заходит (как я понял при помощи "vpn") в Дато Базу и получает прямой доступ к аккаунтам хранящимся в ДБ скулла. Может создать аккаунт с ГМ акком с правами 99-полноправный админ, блокировать доступ игрокам– бан, удаление аккаунтов и игроков, Прописка вещей и лута в игре. Администратор данного игрового сервера неоднократно удалял злоумышленника, через фаервол блокировал доступ айпи злоумышленника, но тот всегда снимал баны, заходил на сервер и "продолжал хулиганства".
Из-за выше указанного постоянные вайпы(обнуления ДБ)
Большая просьба помочь избавиться от злоумышленника, и как-то защитить сервер от взломов.
Заранее спасибо
П.С если что-то необходимо пояснить, поясню…
|
|
|
|
|
RE: Защита от взлома дато базы Скулл через vpn - 2011-04-22 06:32:23.823333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Что тут думать. Брать логи и анализировать. Закрывать дыру. Может он шелл залил. Это админ должен заботиться.
|
|
|
|
|
RE: Защита от взлома дато базы Скулл через vpn - 2011-04-22 06:56:42.573333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Админа менять нужно. Или пригласить со стороны, что бы нашёл откуда ноги растут, и вашему админу руки с ногами поменял местами. Банить через файрволл по IP взломщика - это же надо додуматься так защищаться! Это типа к тебе в дом постоянно ходит гопник, а ты его плакатами, что это нехорошо, и что так делать нельзя.
|
|
|
|
|
RE: Защита от взлома дато базы Скулл через vpn - 2011-04-22 08:35:00.050000
|
|
|
Сашка4321
Сообщений: 4
Оценки: 0
Присоединился: 2011-04-22 02:15:48.310000
|
Ltonid дак а где эта дыра? в Скуле или в автореге?
zzsnn со стороны? я так думаю, что вчера, когда я писал эту просьбу тут, я как раз таки и пошёл на сторону))) за помощью…
Если кто знает, или заинтересуется в помощи.. могу связать вас с тем "криворуким админом - хостером"
|
|
|
|
|
RE: Защита от взлома дато базы Скулл через vpn - 2011-04-22 08:48:59.420000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Да может и там и там. Пересоберут пусть весь авторег с нуля, базу обновят. Но это долго и муторно.
Логи смотреть кто и когда имел какой доступ к какой части сервера, что тут не ясно. Не охото смотреть мильоны строк, пожалуйста переустановка с обновлением поможет.
Как мы можем сказать где не имея доступа ни к исходникам ни к логам. Вконце концов можно элементарно. Вырубить авторег, посмотреть результат, вырубить скулю и посмотреть результат.
|
|
|
|
|
RE: Защита от взлома дато базы Скулл через vpn - 2011-04-22 08:55:39.390000
|
|
|
Сашка4321
Сообщений: 4
Оценки: 0
Присоединился: 2011-04-22 02:15:48.310000
|
Ltonid исходник автореги могу выложить
авторега на данный момент отключена
а если скулл рубануть то не проверить… так как с дб связь будет нарушена, и соответственно сервер будет вырублен и 100 пудов зайти не сможет ни кто
так же регулярно менялся пароль от sa в DB, но злоумышленник обходит это стороной
|
|
|
|
|
RE: Защита от взлома дато базы Скулл через vpn - 2011-04-22 09:04:10.863333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Ну а на шеллы чекнуть? Вы странные какие то.Раз авторега отключена но злоумышленник процветает значит не в ней дело. Пароли сменили, значит у него есть доступ либо к исходникам (ftp) либо к почти админа например и т.д. и т.п. вариантов уйма.
|
|
|
|
|
RE: Защита от взлома дато базы Скулл через vpn - 2011-04-22 12:10:58.173333
|
|
|
Сашка4321
Сообщений: 4
Оценки: 0
Присоединился: 2011-04-22 02:15:48.310000
|
Ltonid
авторега с утра отключена,пока попыток зайти не было с его стороны, ближе к вечеру станет очевидным через авторегу ломает или она тут не при чём
вопрос по другому стоит… как сделать в скулле дб так, что бы нельзя было возможным делать ГМ акк с правами 99
|
|
|
|
|
RE: Защита от взлома дато базы Скулл через vpn - 2011-04-22 12:23:05.006666
|
|
|
ferari12311
Сообщений: 2
Оценки: 0
Присоединился: 2011-04-22 12:19:31.430000
|
Здравствуйте,Я тот самый "Криворукий админ").
этот самый злоумышленик взламывает меня не через авто регистрацию и не через базу данных(моё мнение).
Возможно где то то можно закрыть порт на VPN(сам незнаю не вникал в VPN) может кто знает?
Он просто заходит ко мне на компьютер и скорей всего как через сетевой жкран может делать что угодно на моём компьютере,вот и меняет всё что захочет банить кого захочет и тд.
Даже если забаним по ip не факт что поможет.
|
|
|
|
|
RE: Защита от взлома дато базы Скулл через vpn - 2011-04-22 12:25:18.753333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
С sql 2000 не работал тесно. Но судя по описаниям доступ к ним зависит от прав пользователя под которым запущен процесс sql. Тобишь если обращение к базе идет через сервак (скрипт) тут ничего не сделаешь, а если это фтп то можно настроить так что прав на редактирование от этого процесса не будет. Как конкретно подсказать не смогу.
Ну судя по вашему последнему посту, уязвимость именно в автореге, причем наверняка это sql инъекция дающая полные права пользователю.
UPD
А VPN предоставляете вы сами?
Обычно VPN защищен связкой логин/пароль которая предполагает, что без неё не попасть в защищенную часть.
Таким образом можно заключить, что либо трой у вас непосредственно на компе. Или если VPN предоставляет хостинг, то злоумышленник знает ваш авторизационные данные.
Если вы закроете вход на VPN то как будут подключаться другие участники. Поясните всю схему.
|
|
|
|
|
RE: Защита от взлома дато базы Скулл через vpn - 2011-04-22 12:45:51.326666
|
|
|
ferari12311
Сообщений: 2
Оценки: 0
Присоединился: 2011-04-22 12:19:31.430000
|
С VPN не разбирался.
Щас попробую закрыть портны на SQl возможно это и является проблемой что порты открыты.
Если попытка будет не удачной попробуй ещё раз описать по подробнее может кто поможет(
спасибо пока всем)
|
|
|
|
|
RE: Защита от взлома дато базы Скулл через vpn - 2011-04-22 15:11:29.920000
|
|
|
namepunk
Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
|
quote:
С VPN не разбирался.
Щас попробую закрыть портны на SQl возможно это и является проблемой что порты открыты.
Если попытка будет не удачной попробуй ещё раз описать по подробнее может кто поможет(
спасибо пока всем)
Вам же в 3 посте написали
quote:
…пригласить со стороны, что бы нашёл откуда ноги растут, и вашему админу руки с ногами поменял местами.
Если вы не представляете себе что такое VPN, порты, не знаете как вас могут взламывать, то лучше и не пытаться. На форуме, без конкретного описания типа хостинга, установленных ОС, приложений, видов доступа и т.д. подскажут только телепаты. Таких нет.
|
|
|
|
|
RE: Защита от взлома дато базы Скулл через vpn - 2011-04-22 20:30:23.780000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Да шелл у него на компе. В базе данных. Отключаются от сети сначала. Пароли сразу меняют. Все рутовские. Потом шерстят логи. Кто вошёл, когда вошёл, что запускал, что спрашивал. Муторно! А другого пути нет. День уходит только так. База всегда хранит данные по подсоединению. Если это принудительно не отключить, или не почистить. А Win и журнал хранит, который не почистишь даже рутом. Только переполнением. Так, что следы есть. Искать нужно.
Нашли что-то. Файрволл на полную дать ему задачу следить за соединениями. Запуск машины. Лучше ночью и следи что полезло в инет. Логи шерсти. Если шелл есть, то он обязательно с хозяином полезет общаться. Логи снов шерсти и думай.
Это общие рекомендации. А конкретно нужно на месте смотреть. Очень много от конкретных настроек зависит.
|
|
|
|
|
RE: Защита от взлома дато базы Скулл через vpn - 2011-04-22 22:54:29.133333
|
|
|
NoobHackerNoob
Сообщений: 1
Оценки: 0
Присоединился: 2011-04-20 09:19:55.923333
|
Вот админ лох
Бэкап базы и пусть ОС ставить заново. Шеллов ему понаставили.
|
|
|
|
|
RE: Защита от взлома дато базы Скулл через vpn - 2011-04-22 23:48:10.793333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Бэкапы сплоши и рядом не помогают.
Админ не лох. Был бы лох - сюда не писал бы. Так что если у тебя, NoobHackerNoob нихрена консткруктивного нет, то отвали.
Админ просто не опытен. Наверняка один из пользователей данного сервера. Школьник. Знаний не хвататет. Учиться нужно. У тебя самого мозгов и уменения управлять сервером такого уровня нет - вот ты и есть лох. А ferari12311 пытается понять что и как делать.
ferari12311 давай попробуем разобраться. Какая ось у тебя? Что за сервер стоит? Сколько пользователей имеет рутовый доступ? И что в логах? Смотри особенно когда ты точно не входил, по времени, и когда команды точно не давал. Обрати на это внимание. Но сначала отключись от сети и поменяй пароли. Или пароли поменя, как миниум, если нет возможности отключиться. И логи, ЛОГИ фильтруй. Поэтому лучше ночью.
|
|
|
|
|
RE: Защита от взлома дато базы Скулл через vpn - 2011-05-05 17:25:10.990000
|
|
|
eXtaZy27
Сообщений: 1
Оценки: 0
Присоединился: 2011-05-05 17:03:55.380000
|
ferari12311
Гайды на МД сложно почитать?
Тебя на 90% процентов ломают через SQL инъекцию в AccountServer`e.В данный момент бесплатной защиты нет.
А лучше сделай это:
1)Выкинь свой древний MSSQL 2000 и установи MSSQL 2008R2
2)Поставь сложный пароль на MSSQL
3)Поставь сложный пароль на пользователя Windows
4)Поставь Windows Server 2008 или хотя бы Windows 2003
5)Грамотно настрой фаерволл
6)Поставь GeminiXFall
7)Возьми light веб обвязку(например от ingry)
8)Выкинь всякие TeamViewer`ы c компьютера ,а если нужна удалёнка включи RDP
9)Используй чистые серверные файлы ,а в них уже всё пихай т.к бывают юзеры которые их собирали оставляли подарки
10)Ставь защиту столбцов в таблицы от несанкционированного изменения
11)Закрой порт 1433 во внешку и не кто к тебе не сможет залезть в БД ,а лучше закрой все порты кроме 80 1973
12)Прочитай этот гайд.Там почти всё это описано http://forum.maindev.ru/showthread.php?t=7326
И сначала почитай что такое VPN
// Для добавления новых мыслей есть кнопочка "Редактировать".
|
|
|
|
|
|
