Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек
24-апр
10-апр
11-апр

> Важная информация

Перед тем как создать тему или задать вопрос, ознакомьтесь с данной темой, там собраны наиболее распространенные уязвимости и способы устранения.
Так же не поленитесь воспользоваться поиском, вполне возможно, что ваш вопрос уже поднимался на форуме.
При создании новой темы уделите внимание ее названию, оно должно кратко описывать суть вашего вопроса/проблемы. Все вновь созданные темы с названиями "Помогите", "Объясните", "Подскажите" и т.д. будут удалены, а их авторы наказаны.
18 страниц V  « 12 13 14 ... 16 17 »

Защита от подмены на определённые SteamID

, и взлом админки
Safety1st
сообщение 13.6.2014, 14:26
Сообщение #241
Стаж: 14 лет
Город: Moscow

Сообщений: 7228
Благодарностей: 8071
Полезность: 196

Эта информация, которая долгое время находилась в шапке, не соответствует действительности:
Цитата(Safety1st @ 19.12.2013, 20:37) *
Внимание! AVSMP НЕ является эмулятором, и на него защита от подмены на определённый ID НЕ распространяется. Поэтому при дефолтных настройках dproto с использованием этого способа для входа на сервер (что и имеется в небезызвестном айдичейнджере и его последователе) можно получить желаемый ID. Решение - запрет в dproto на вход AVSMP-клиентов.

Хотя я и не склонен считать программы, использующие такой тип авторизации, 'полноценными' эмуляторами как RevEmu, в плане взаимодействия с dproto (что по сути нас только и волнует) они ведут себя как эмуляторы, а именно: отправляют серверу SteamID, какой посчитают нужным.

В плане защиты от подмены AVSMP ещё хуже RevEmu, и обходиться с ним нужно соответствующе. 'Соль' в dproto защитит от подмены на определённый ID, как и в случае со всеми остальными эмуляторами. На серверах, где 'старые клиенты' под запретом, логично поставить запрет и на AVSMP (cid_AVSMP = 5). А авторы dproto рекомендуют выставлять генерацию ID сервером по IP (cid_AVSMP = 3).

Благодарю Crock'а за подробные разъяснения.


Шапка топика была переработана и обновлена.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 4 раз
   + Цитировать сообщение
Статус пользователя quece
сообщение 18.6.2014, 1:55
Сообщение #242
Стаж: 12 лет

Сообщений: 51
Благодарностей: 1
Полезность: 16

не понимаю смысл данного топика, не легче задавать антибрутные пароли? Их же один раз надо писать.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя shaid
сообщение 18.6.2014, 2:07
Сообщение #243


Стаж: 14 лет

Сообщений: 1012
Благодарностей: 432
Полезность: 835

не легче чем что? настройка префиксов и админка по лиц. стиму или статик ип? или чем соль в новом дпрото?
к тому-же я легко украду ваши пароли если заманю к себе на сервер.

Отредактировал: shaid, - 18.6.2014, 2:09
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя quece
сообщение 18.6.2014, 2:10
Сообщение #244
Стаж: 12 лет

Сообщений: 51
Благодарностей: 1
Полезность: 16

Про хэш это все хорошо. Чуть не так выразился, не понимаю смысла многих постов в этой теме, чем плох способ давать админки по нику+хорошему паролю(который вы сами дадите админам, а не они напишут, который в базе брута будет с 99% вероятностью) ?
Да украсть пароль можно, но если предупреждать админов о таком способе краже - такие случаи сведутся на нет.(У меня красным шрифтом описаны случаи кражи пароля, как зазываю 1х1 и тд) - люди достаточно серьезно к этому относятся и запоминают.
А продавать админки только стим клиентам и не динамичным IP дело невыгодное. Или тут все сервера держат из альтруистических соображений?)
А если с никами учитывать человеческий фактор(забыл и тд), он также может сам всех побанить по пьяне(человеческий фактор).

Отредактировал: quece, - 18.6.2014, 2:16
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя shaid
сообщение 18.6.2014, 2:14
Сообщение #245


Стаж: 14 лет

Сообщений: 1012
Благодарностей: 432
Полезность: 835

весь буфер юзеринфо, включая те ключи в которые вы пишете пароли, передается на сервер при подключении к нему. если ваши админы играют исключительно на вашем сервере и ни при каких обстоятельствах не зайдут на другой то админка по паролю это надежный костыль)
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя quece
сообщение 18.6.2014, 2:21
Сообщение #246
Стаж: 12 лет

Сообщений: 51
Благодарностей: 1
Полезность: 16

Цитата(shaid @ 18.6.2014, 2:14) *
весь буфер юзеринфо, включая те ключи в которые вы пишете пароли, передается на сервер при подключении к нему. если ваши админы играют исключительно на вашем сервере и ни при каких обстоятельствах не зайдут на другой то админка по паролю это надежный костыль)

Одно дело зайти на какой-то сервер, а другое зайти на сервер на котором знают откуда этот админ))Да и как правило админы по сервакам не бегают - пара тройка не более, в основном играют там где они админы.

В общем я делаю так:
Стимерам свой префикс(защита от дураков)+пароль, пиратам по нику+пароль(+строгая html инструкция как и кому баны выдавать, как крадут пароли и тд), если у админа белый IP, то и админка по IP.

Отредактировал: quece, - 18.6.2014, 2:30
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя shaid
сообщение 18.6.2014, 2:30
Сообщение #247


Стаж: 14 лет

Сообщений: 1012
Благодарностей: 432
Полезность: 835

я понял. на нескольких читерских порталах я встречал гайды для юных воров амх админок, упершихся в установленный на них пассворд. смысл этих гайдов весьма прост: как заманить админа к себе на сервер, как украсть пасс, как им воспользоваться. первая часть иногда напоминает урок пикапа: там описано как говорить с админом, что ему писать чтобы пошел (гоу раз на раз или у меня на серве лучше античит, тебя забанит как только зайдешь гоу если не зассал) и как сделать сервер на который он зайдет (возможно ботов с норм никами добавить чтобы админ поверил что сервер не фейк и т.п.). я искренне сомневаюсь, что если читер с интеллектом выше среднего захочет ваши админки он не сможет их так получить. так вот, смысл топика в том, чтобы такие умники не справлялись со своей целью. этот топик просто содержит разные советы, а использовать их или нет это дело каждого.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя quece
сообщение 18.6.2014, 3:24
Сообщение #248
Стаж: 12 лет

Сообщений: 51
Благодарностей: 1
Полезность: 16

Цитата(shaid @ 18.6.2014, 2:30) *
я понял. на нескольких читерских порталах я встречал гайды для юных воров амх админок, упершихся в установленный на них пассворд. смысл этих гайдов весьма прост: как заманить админа к себе на сервер, как украсть пасс, как им воспользоваться. первая часть иногда напоминает урок пикапа: там описано как говорить с админом, что ему писать чтобы пошел (гоу раз на раз или у меня на серве лучше античит, тебя забанит как только зайдешь гоу если не зассал) и как сделать сервер на который он зайдет (возможно ботов с норм никами добавить чтобы админ поверил что сервер не фейк и т.п.). я искренне сомневаюсь, что если читер с интеллектом выше среднего захочет ваши админки он не сможет их так получить. так вот, смысл топика в том, чтобы такие умники не справлялись со своей целью. этот топик просто содержит разные советы, а использовать их или нет это дело каждого.

ну а других способов я не знаю:) 390 для меня сейчас никак не вариант.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя shaid
сообщение 18.6.2014, 3:30
Сообщение #249


Стаж: 14 лет

Сообщений: 1012
Благодарностей: 432
Полезность: 835

можно попросить админов удалять пароль при переходе на другие сервера под угрозой удаления админки. простой ультиматум: если не будешь стирать свой пасс из сетинфо и его украдут то прощайся с админкой без возврата денег.
или можно самому его убирать с помощью амх)
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя [WPMG]PRoSToTeM@
сообщение 18.6.2014, 5:24
Сообщение #250
Стаж: 14 лет

Сообщений: 1514
Благодарностей: 1025
Полезность: 725

При заходе человека на свой сервер можно не только сетинфо украсть, но и весь пакет коннекта (а там как раз тикет эмулятора или стима). Надёжнее всего в таком случае запилить авторизацию по кукам в MOTD.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Safety1st
сообщение 18.6.2014, 5:29
Сообщение #251
Стаж: 14 лет
Город: Moscow

Сообщений: 7228
Благодарностей: 8071
Полезность: 196

quece, топик касается не только защиты админок. Раз вы этого не заметили - неудивительно, что 'не понимаю смысла многих постов в этой теме' ;)

Цитата(quece @ 18.6.2014, 4:10) *
чем плох способ давать админки по нику+хорошему паролю

Тем, что:
• админы всегда вынуждены играть под одним и тем же ником. хотя на большинстве серверов владельцам это, наоборот, удобно, я больше забочусь о серверах 'из альтруистических соображений' (админы бесплатные, 'зарабатывать' на VIP-ках - грехом не считаю ;) и уверен, что узнаваемость - большое неудобство для админов: игроки пристают + сложнее вычислять читеров, знающих, что на сервере админ и пытающихся шифроваться.
• бан-системы обычно банят по ID. это значит, что ололошка с айдичейнджером с произвольным ником может подвести любого игрока (и админа) под бан: из-за совпадения ID бан 'перекинется'. собственно, в шапке эта информация есть (была указана под спойлером).

Топик касается защиты ID всех постоянных игроков. Вышеозвученный подход с ник+пароль для этого неприемлем. Если на ваших серверах ID нигде роль не играет - то и проблема его подмены для вас точно не актуальна) Хотя мне лично такой сервер сложно представить.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 2 раз
   + Цитировать сообщение
Статус пользователя quece
сообщение 18.6.2014, 8:59
Сообщение #252
Стаж: 12 лет

Сообщений: 51
Благодарностей: 1
Полезность: 16

Цитата(Safety1st @ 18.6.2014, 5:29) *
quece, топик касается не только защиты админок. Раз вы этого не заметили - неудивительно, что 'не понимаю смысла многих постов в этой теме' ;)


Тем, что:
• админы всегда вынуждены играть под одним и тем же ником. хотя на большинстве серверов владельцам это, наоборот, удобно, я больше забочусь о серверах 'из альтруистических соображений' (админы бесплатные, 'зарабатывать' на VIP-ках - грехом не считаю ;) и уверен, что узнаваемость - большое неудобство для админов: игроки пристают + сложнее вычислять читеров, знающих, что на сервере админ и пытающихся шифроваться.
• бан-системы обычно банят по ID. это значит, что ололошка с айдичейнджером с произвольным ником может подвести любого игрока (и админа) под бан: из-за совпадения ID бан 'перекинется'. собственно, в шапке эта информация есть (была указана под спойлером).

Топик касается защиты ID всех постоянных игроков. Вышеозвученный подход с ник+пароль для этого неприемлем. Если на ваших серверах ID нигде роль не играет - то и проблема его подмены для вас точно не актуальна) Хотя мне лично такой сервер сложно представить.

Я же сказал, что не точно выразился и то что говорил про посты. К чему этот фарс с игрой слов и фраз? Вроде не школьники.

Если по делу, для меня вами описываемая проблема с ID не так актуальна, у меня бан система построена не на steamid(что как 2 щелчка, процентов 10 банов по id(но время такого бана непродолжительно + не злостных читеров)) и не ip(который у многих провайдеров может быть один чуть ли не на полгорода), намучился в свое время с обходом бана.

Отредактировал: quece, - 18.6.2014, 9:01
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя chemodann
сообщение 13.7.2014, 20:56
Сообщение #253
Стаж: 11 лет

Сообщений: 23
Благодарностей: 1
Полезность: < 0

# for p.47 clients that do not support unique id generation (default is STEAM_ID_LAN [8])
cid_NoSteam47 = 8

# for p.48 clients that do not support unique id generation (default is VALVE_ID_LAN [10])
cid_NoSteam48 = 10

Chto tut dolzhno bytj?

11?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Safety1st
сообщение 13.7.2014, 21:02
Сообщение #254
Стаж: 14 лет
Город: Moscow

Сообщений: 7228
Благодарностей: 8071
Полезность: 196

Должен быть пост кириллицей. Экранная клавиатура тут.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя chemodann
сообщение 13.7.2014, 21:14
Сообщение #255
Стаж: 11 лет

Сообщений: 23
Благодарностей: 1
Полезность: < 0

# for p.47 clients that do not support unique id generation (default is STEAM_ID_LAN [8])
cid_NoSteam47 = 8

# for p.48 clients that do not support unique id generation (default is VALVE_ID_LAN [10])
cid_NoSteam48 = 10

что тут должно стоять вместо 8 и 10
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Safety1st
сообщение 13.7.2014, 21:22
Сообщение #256
Стаж: 14 лет
Город: Moscow

Сообщений: 7228
Благодарностей: 8071
Полезность: 196

Что бы вы тут не собирались поставить - это не относится к теме топика. У этих клиентов нет уникальных ID, подменять нечего. 'do not support unique id generation' как бЭ намекает...
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя [WPMG]PRoSToTeM@
сообщение 13.7.2014, 22:43
Сообщение #257
Стаж: 14 лет

Сообщений: 1514
Благодарностей: 1025
Полезность: 725

Можно сделать генерацию по IP crazy.gif
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя CSer4you
сообщение 17.7.2014, 2:44
Сообщение #258


Стаж: 18 лет

Сообщений: 171
Благодарностей: 14
Полезность: 1

Заметил на некоторых серверах игроков с чейнджером банит автоматом, я так понимаю проверяет steam_random_id? Что за плагин такой?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
etkins
сообщение 17.7.2014, 4:31
Сообщение #259
Стаж: 17 лет

Сообщений: 804
Благодарностей: 184
Полезность: < 0

CSer4you,
AC
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя jekinsss
сообщение 17.7.2014, 16:05
Сообщение #260


Стаж: 13 лет

Сообщений: 352
Благодарностей: 22
Полезность: 71

Не удаляйте тему. Меня задолбало, что серв опять ломают подменой! =)
Я уже лазил в темы по подмене стимид, я нифига не понял, что там пшиут -_-

Можно понятливым языком объяснить что сделать? На данный момент установлен алиас чекер только от подмены.

Сервер нон стим, админы и стим и нонстим.

Понимаю что полной защиты нет, но что можно сделать?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
18 страниц V  « 12 13 14 ... 16 17 »
 
Ответить в данную темуНачать новую тему
 
0 пользователей и 1 гостей читают эту тему: