Перед запуском свого сервера, перевірте, а чи захищений він?
RCON, плюси і мінуси, чи варто використовувати.
Для початку, а взагалі, навіщо потрібен RCON?
RCON - використовується, всюди, майже на кожному сервері, після вдалого введення пароля, дає доступ кикать / банити і проводити різні адмін маніпуляції над користувачами.
1) Чи варто використовувати RCON у себе на сервері? Які плюси?
+Стандартна админка, не доведеться ставити або писати різні скрипти адмінок.
+Чи не навантажує сервер.
+Зібрано всі необхідні для адміністратірованіе.
+Маскована админка.
2) Не варто? Які мінуси?
-Адаменко не поділяється за рівнями.
-Неприваблива админка, що не сповіщає користувачів про Кіке або лазні.
Уразливості використання RCON пароля на своєму сервері.
Вразливість: RCON пароль не шифрується, що робить його вразливим для Брута.
РІШЕННЯ: Установка більш складного пароля виду, fhF3Hrn $ hfm $ 3kf і т.д.
Вразливість: Подтвергает сервер DDoS атаці, методом виклику падіння сервера (брут).
РІШЕННЯ: Відключити RCON на сервері, rcon 0 в server.cfg
MySQL. плюси і мінуси, чи варто використовувати.
Що таке MySQL, я докладно описую в цьому уроке.Данний пункт теми, тільки для тих хто все ж вирішив використовувати MySQL.
2) Не варто? Які мінуси?
-Довгий зчитування значень через перевантаження.
-Навантаження на MySQL сервер.
-Збої в запитах.
-Потрібен акуратний скриптинг.
-Звернення до сервера при кожній команді, запит.
-Не всі хостери підтримують MySQL бази даних.
Уразливості використання MySQL, як місце для зберігання пароль, значень гравця.
Вразливість: SQL ін'єкції, на сайті - отримання доступу в БД.
РІШЕННЯ: Невикористання самописних движок, а перевірених.
Вразливість: Перехоплення пакетів які посилає плагін (рідко, тому що складно).
РІШЕННЯ: Ні рішення, хоча можна вивчити DevTool ++ і вбудувати захист.
Вразливість: вантаження самописного шелла під SA-MP на веб - сервер (рідко).
РІШЕННЯ: Заборона залиття файлів на веб-сервер через сайт.
1) Чи варто використовувати SQLite у себе на сервері? Які плюси?
+Швидка робота.
+Зручне адміністратірованіе, можливо ручне а можливо і через програму.
+1 файл для зберігання всього.
+Йде в комплекті з сервером.
2) Не варто? Які мінуси?
-При великому розмірі файлу, для зберігання інформації (* .BD) довгий зчитування.
-Неприваблива админка, що не сповіщає користувачів про Кіке або лазні.
Уразливості використання SQLite, як найзручніший вид адміністратірованіе.
Вразливість: Перевантаження запитів в базі.
РІШЕННЯ: Зменшення кількості запитів в коді, оптимізація.
Пакети, найскладніший і вірний тип атаки.
Найскладнішим видом атаки, є посилки і підмінити пакетів, а точніше спочатку їх відстеження за допомогою сніфера.
Види атаки на сервер, за допомогою підміна пакетів.
АТАКА: Посилка пакетів набитих пам'яттю, свого роду DDoS.
РІШЕННЯ: Рішення немає, це стандартна функція Windows, для вас це не страшно.
АТАКА: Посилка лівих пакетів на сам SAMP-Server.Не разу не помічав, але думаю можливо.
РІШЕННЯ: Рішення не потрібно, так як використовується це рідко.
АТАКА: Посилка лівих запитів у клієнта на сервер.
РІШЕННЯ: Модулі для захисту сервера.
АТАКА: Забивання ботамі.Тіпічний DDoS.
РІШЕННЯ: Небезпеки не надає, хоча в цілях захисту - в OnPlayerUpdate перевірку на пінг.
Про пакетах, докладніше.
Діагностика, перевіряємо свій сервер на дірки.
1) Перевіряємо на узвімость Брута і складність RCON пароля.
Качаємо з Darevox'а, брут для сервера SA-MP.
Інструкція по використанню:
1) Запускаєте програму
2) Вводите в соотвецтвуют рядки IP і Порт сервера, пароль якого хочете зламати.
3) Натискаєте Start, чекаєте.
4) З'являється пароль.
Бажано вводити свій IP, і що-б ваш сервер був запущений на вашому компьтере (так менше доведеться чекати).
УВАГА, якщо на вашому сервері відключений RCON (rcon 0), то програма не його атакувати.
Якщо програма почала атаку ви будете бачити велику кількість одного і теж повідомлення в вікні сервера, виду:
BAD RCON ATTEMPT.
По суті справи, сервер повинен буде повиснути
Що-б не могли атакувати вас таким Брут:
Прописуємо в server.cfg:
rcon 0
(Ми відключаємо використання RCON пароля на сервері).
2) Крок для тих у кого варто прив'язка сервера до MySQL.
-Якщо ви вказали простий пароль при установці веб - сервера, то обов'язково змініть його!
Пароль можна змінити у файлі C: \ AppServ \ www \ phpMyAdmin \ config.inc.php, відкрийте його через Notepad ++, і знайдіть 75 рядок:
$ cfg # 91; 'Servers' # 93; # 91; $ i # 93; # 91; 'Password' # 93; = ''; // MySQL password (only needed
Встановіть свій пароль, приклад:
$ cfg # 91; 'Servers' # 93; # 91; $ i # 93; # 91; 'Password' # 93; = 'Fgjhf4nDh2nD82HdfnOe; // MySQL password (only needed
І збережіть, так само можна змінити в 74 рядку, ім'я користувача.