все он правильно говорит, принцип бумеранга сработалDaVilka, Ну вот что ты чешешь? Я не кого не защищаю, я просто адекватен.
Люди играли там, и получали то что хотели, подход руководства к делу достойный. Особенно если смотреть на сферу в целом и элементарно сравнить с другими. Разве что они частенько ддосом промышляли, но я сомневаюсь что ты про это имел ввиду.
Не исключено). Поэтому рекомендуется:О так это тот самый Сервер созданный трансвеститами.
Интересно уже хеши паролей сбрутили?)
Горите в аду со своим префиксов, и ограничению по паролю, нубяры.Не исключено). Поэтому рекомендуется:
*ставить на серверах префиксы в обязательном порядке, чтобы в множество раз увеличить кол-во комбинаций.
*минимальную длинну пароля побольше, и требования к наличию символов, чисел и заглавных букв.
Это все глупости, если пароли были стили, то скорость перебора будет измеряться в милиардах комбинаций в сек. на картах средней паршивости.Не исключено). Поэтому рекомендуется:
*ставить на серверах префиксы в обязательном порядке, чтобы в множество раз увеличить кол-во комбинаций.
*минимальную длинну пароля побольше, и требования к наличию символов, чисел и заглавных букв.
*мотивировать к привязке по hwid
*поставить второй числовой пароль
*подключить модуль верификации соединений логин сервера (есть у стрикса). Чтобы с тысяч прокси и эмуляцией клиента не брутили по 1к+ комбинаций в секунду.
На всякий случай все же стоит себя обезопасить, а то по этой базе можно знатно пофейлить сервера, игроков там немало зарегалось и база свежая.
Мы малость не о том говорим. Я не спорю, что sha1 и whirlpool устаревшие и что аверия с этим не заморачивалась. Это говорит о том, что расхешировать базу вообще не проблема, а значит у злоумышленника на руках уже может быть база с чистыми паролями и логинами, которые могут использоваться для брута на других проектах.Это все глупости, если пароли были стили, то скорость перебора будет измеряться в милиардах комбинаций в сек. на картах средней паршивости. В l2j используется два вида хеша либо sha1 либо whirlpool, они устаревшие.Думаю что разрабам аверии плевать на своих игроков, они к ним относятся как к коровам которые дают лаве, и не уделив внимание безопасности игроков со своей стороны, не усилили хеши их паролей.
О каких двух неделях речь? Все тут правда, кроме сроков. Раньше они ее купили намного.Вот вам небольшая инфа для размышления по поводу Averia.ws и его будущего.
За 2 недели до старта сборку, весь персонал и всю инфраструктуру Averia.ws купили ребята из l2e-global.com
В качестве пруфа могу привести вот такие ссылки:
averia.l2e-global.com
forum-averia.l2e-global.com
updater-averia.l2e-global.com
c этого начался 3.14здец
Они перенесли все сервисы аверии на свои мощности, в том числе логин сервер (который и сыграл злую шутку)
Обычно все важные и критичные сервисы администрация прячет за защитой от DDOS-a (Cloudflare) этот же клаудфлейр защищает их от всякого рода атак.
Админы еглобала то ли долбаебы, то ли жадные пидары, решили спрятать все сервисы аверии, кроме!!! логин сервера
А еще эти долбоебы оставили 2 интерфейса удаленного управления сервером открытыми для любых пацанов из интернета. Все что нужно было сделать это угадать логин и пароль, но в нынешние времена это всего лишь вопрос времени
Логин сервер как вы понимаете, настроен таким образом что он может рулить базой данных, получать с нее данные, вносить изменения, а так же делать все что хочешь по сути.
Какой-то умный чувак, сбрутил доступ к логин серверу и положил всю инфраструктуру сервера.
Есть нехуевая вероятность что админы не извлекут из этого урока. Аверия 3 года существовала без единого вайпа, еглобал за 2 недели после покупки сборки уже успел ее уронить. На еглобале кстати вайпы и взломы были весьма популярной хуйней.
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
Поэтому есть нехилая вероятность что история повторится.
Никуда идти не призываю, думайте сами что дальше делать.
Edit 1. Админы начали удалять домены, но интернет помнит все:
Оффтоп:Vitaliy Malkin April 11, 2018Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
Твое предложение напоминает проверки по всей россии после пожара, тут как говорится, позняк метаться, проблема слития баз не нова, и если аккаунты игроков твоего сервера оказались под угрозой компрометации после того как какие то дауны проепали свою бд, то уж извините, вы ничем не отличаетесь от этих самых дауновМы малость не о том говорим. Я не спорю, что sha1 и whirlpool устаревшие и что аверия с этим не заморачивалась. Это говорит о том, что расхешировать базу вообще не проблема, а значит у злоумышленника на руках уже может быть база с чистыми паролями и логинами, которые могут использоваться для брута на других проектах.
Так вот, методы, которые я перечислил, как раз обезопасят от брута других серверов с помощью свежей базы аверии. Игроки же не меняют учетные данные по большей части. И если не будет префиксов, требований к паролю, привязки итп, то можно вообще без брута(подбора) пройтись по аккаунтам и устроить "мини вайп").
При чем тут проверки после пожара? Я и не говорил, что мои предложения как то защитят от слива бд). Не знаю к чему тут "позняк метаться". Элементарная суть ранее сказанного в том, что базу аверии могут расхешировать и использовать для брута других серверов. Я об этом уже 2 раза упоминал, но по какой то причине для некоторых мои сообщения оказались сложными для усвоения.Твое предложение напоминает проверки по всей россии после пожара, тут как говорится, позняк метаться
Сначала ты говоришь, что предлагаемые мной меры нубовство:Горите в аду со своим префиксов, и ограничению по паролю, нубяры.
если аккаунты игроков твоего сервера оказались под угрозой компрометации после того как какие то дауны проепали свою бд, то уж извините, вы ничем не отличаетесь от этих самых даунов
Самое тупое, что все осуждают админов, не зная проблемы, говорят как нужно делать, а сами держат проекты, которые собирают по 10 человек онлайна и никто их никогда не DDoSит, не взламывает, потому что они просто никому не нужны. Нормальный же человек знает, что любая система не безопасна. Наверно глупо называть системных администраторов пентагона глупцами, не так ли? Но их взламывали ни 1 раз.
Откуда мы знаем, на каком уровне был взлом аверии)Глупо ровнять пентагон с гфш, уровень взлома отличается на порядок, как и скилы исполнителей.
Похоже, мои предложения слишком сложны, и не все их понимают, давайте попробую по проще.При чем тут проверки после пожара? Я и не говорил, что мои предложения как то защитят от слива бд). Не знаю к чему тут "позняк метаться". Элементарная суть ранее сказанного в том, что базу аверии могут расхешировать и использовать для брута других серверов. Я об этом уже 2 раза упоминал, но по какой то причине для некоторых мои сообщения оказались сложными для усвоения.
Тогда попробуем так:
Вопрос безопасности сервера (защита MySQL от слива), и защита от брута - это 2 разных вопроса, но все же ты скомкал все в вкучу. Меня не заботят причины слива базы аверии - это их проблемы. Сам факт в том, что бд уже слита и может использоваться для брута, отсюда логично, что я озвучил некоторые простые и эффективные меры, которые используются на многих проектах.
Сначала ты говоришь, что предлагаемые мной меры нубовство:
*ставить на серверах префиксы в обязательном порядке, чтобы в множество раз увеличить кол-во комбинаций.
*минимальную длинну пароля побольше, и требования к наличию символов, чисел и заглавных букв.
*мотивировать к привязке по hwid
*поставить второй числовой пароль
*подключить модуль верификации соединений логин сервера (есть у стрикса). Чтобы с тысяч прокси и эмуляцией клиента не брутили по 1к+ комбинаций в секунду.
А сейчас ты по сути называешь даунами тех, кто не принимает меры от брута:
Выводы я озвучивать не буду, чтобы не задеть чье либо достоинство и уровень профессионализма) и ни в коем случае ничего не навязываю, у каждого своя голова на плечах.
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?