Защита сервера от взлома паролей CS 1.6

Дмитрий

Пользователь
Регистрация
8 Июн 2017
Сообщения
73
Симпатии
13
Пол
Мужской
#1
Первоисточник: Важно - Защита сервера от взлома паролей CS 1.6

Всем привет.

Описание проблемы
Злободневный вопрос хочу вам поведать, дабы защитить сервера клиентов от взломов админок.

Итак, сразу к делу. Появился очень простой способ взлома сервера и кражи паролей админок:
А именно: Злоумышленик просит вас помощи, предлагая деньги и т.п. на своем сервере, или просит зайти на свой сервер чтобы что-то проверить. Вы, ничего не подозревая заходите на его сервер, иии, ваш пароль уже ему известен.
Как он это делает? Особо расписывать не буду, но делается это обычными средствами cs, команды rcon или же плагинами. Вообщем, ваш конфиг кс сливают, а там, как известно записаны все ваши пароли setinfo "_pw" "1234".
Идем далее. Взломщик знает, ваш сервер, ник и пароль. Что делает дальше? Заходит на ваш сервер, и вводит заветные команды в консоле:
amx_rcon amx_cvar amx_sql_host; amx_cvar amx_sql_user; amx_cvar amx_sql_pass
И ему выдаются данные от БД банлиста amxbans (админок в том числе)
Код:
[AMXX] Cvar "amx_sql_host" is "***"
[AMXX] Cvar "amx_sql_user" is "***"
[AMXX] Cvar "amx_sql_pass" is "***"
Также можно упомянуть кражу админок через подмену steamID. Но это решаемо. Ниже опишу как.

Теперь не составит труда зайти в вашу бд и делать что угодно там. Прописывать админки, разбаны и прочее.
Вам это выяснить будет очень сложно. Поэтому вы будете ругаться, материть Взломщика за это, а тех.под. за то что мы "Якобы" не можем обеспечить защиту.

Так вот, думаю я не зря это все расписываю. И вы поняли суть проблемы.
перейдем к средствам защиты.
Решение
Чтобы вас не взломали:
1) Не нужно шарить по серверам, куда вас позвали
2) Не доверять кому попало и не идти на поводу у злоумышленника. Для помощи есть поддержка и форум. Помоги советом человеку, но никак не делайте это за него. (как говориться Не делай добра, не получишь зла)
3) Прописывая админки. Не выдавайте: g h k l
поясняю почему:
Код:
Флаг g - Дает доступ менять настройки сервера, следовательно и узнавать их посредством amx_rcon
Флаг h - ADMIN_CFG - Тоже самое, махинации с настройками.
Флаг k - ADMIN_PASSWORD sv_password - Смена пароля сервера, установка пароля.
Флаг l - ADMIN_RCON rcon access - Самое важное для взломщика!
*** Если на каком-то из флагов у вас випка или еще какая-то важная функция, смените флаг на другой свободный. попросите сделать это в поддержке, ради вашей же безопасности.
upd 28/05/15
Поколдовали с настройками в cmdaccess.
Теперь все нежелательные доступы по умолчанию перенесены на флаг t
Но. На старых серверах настройки мы не могли изменить, поэтому просим вас зайти в Настройки > cmdaccess.ini и изменить следующие записи:
Код:
"amx_pause" "p" ; admincmd.amxx
"amx_cvar" "p" ; admincmd.amxx
"amx_rcon" "p" ; admincmd.amxx
"amx_showrcon" "p" ; admincmd.amxx
"amx_cvarmenu" "p" ; cmdmenu.amxx
"amx_plugincvarmenu" "p" ; pluginmenu.amxx
Как видите изменен флаг на нескольких командах.
Теперь, для безопасности достаточно админам не выдавать флага t


4) Обновите dproto (защита от подмены стим некая)
5) Не прописывайте админки по steamID игроку с nonSteam CS
6) Используйте сложные пароли в админках. Пример: 23kJQVE3jl3vl
7) Полный доступ не прописывайте даже себе. Пропишите, сделайте что хотели и уберите. Полный доступ можно писать только для админок по ip, его уж точно не подменят.
8) Завтра будет добавлена кнопка в ПУ, для смены пароля от БД. Так вот личная рекомендация. Менять пароль от бд, хотя бы раз в месяц. Только учтите что прийдется менять вручную все в настройках плагинов, если где-то прописали.

Надеюсь я не зря расписывал это все. И вы внимательно прочитали все.
Спасибо. Задавайте тут вопросы.

upd 8/06/2015 Обновили флаг. Теперь весь небезопасный доступ на p
 
Последнее редактирование модератором: