все он правильно говорит, принцип бумеранга сработал
Не исключено). Поэтому рекомендуется:
*ставить на серверах префиксы в обязательном порядке, чтобы в множество раз увеличить кол-во комбинаций.
*минимальную длинну пароля побольше, и требования к наличию символов, чисел и заглавных букв.
*мотивировать к привязке по hwid
*поставить второй числовой пароль
*подключить модуль верификации соединений логин сервера (есть у стрикса). Чтобы с тысяч прокси и эмуляцией клиента не брутили по 1к+ комбинаций в секунду.
На всякий случай все же стоит себя обезопасить, а то по этой базе можно знатно пофейлить сервера, игроков там немало зарегалось и база свежая.
Горите в аду со своим префиксов, и ограничению по паролю, нубяры.
А что если я не хочу запоминать длиннющие пароли на серваке однодневке, и каждый день восстанавливать логин, ибо забыл префикс? Если вы так переживаете за безопасность своих игроков, что готовы к каждому приставить охранника против их же воли, то лучше направьте свой энтузиазм на ввод статических и динамических солей плюс дополнительной шифрации. Ограничивать выбор людей из-за собственной паранойи не является решением проблемы, это не профессионально
Это все глупости, если пароли были стили, то скорость перебора будет измеряться в милиардах комбинаций в сек. на картах средней паршивости.
В l2j используется два вида хеша либо sha1 либо whirlpool, они устаревшие.
Думаю что разрабам аверии плевать на своих игроков, они к ним относятся как к коровам которые дают лаве, и не уделив внимание безопасности игроков со своей стороны, не усилили хеши их паролей.
А вообще взломщик красавчик, просто за то что у него это получилось сделать, а отнаворки типо "Вот видите как нас конкуренты бояться, что нас взламывают" выглядит глупо.
Но проект топовый, не загнётся, в этом мире много лохов которые играют без конца и края.
Мы малость не о том говорим. Я не спорю, что sha1 и whirlpool устаревшие и что аверия с этим не заморачивалась. Это говорит о том, что расхешировать базу вообще не проблема, а значит у злоумышленника на руках уже может быть база с чистыми паролями и логинами, которые могут использоваться для брута на других проектах.
Так вот, методы, которые я перечислил, как раз обезопасят от брута других серверов с помощью свежей базы аверии. Игроки же не меняют учетные данные по большей части. И если не будет префиксов, требований к паролю, привязки итп, то можно вообще без брута(подбора) пройтись по аккаунтам и устроить "мини вайп").
Последнее редактирование:
Вот вам небольшая инфа для размышления по поводу Averia.ws и его будущего.
За 2 недели до старта сборку, весь персонал и всю инфраструктуру Averia.ws купили ребята из l2e-global.com
В качестве пруфа могу привести вот такие ссылки:
averia.l2e-global.com
forum-averia.l2e-global.com
updater-averia.l2e-global.com
c этого начался 3.14здец
Они перенесли все сервисы аверии на свои мощности, в том числе логин сервер (который и сыграл злую шутку)
Обычно все важные и критичные сервисы администрация прячет за защитой от DDOS-a (Cloudflare) этот же клаудфлейр защищает их от всякого рода атак.
Админы еглобала то ли долбаебы, то ли жадные пидары, решили спрятать все сервисы аверии, кроме!!! логин сервера
А еще эти долбоебы оставили 2 интерфейса удаленного управления сервером открытыми для любых пацанов из интернета. Все что нужно было сделать это угадать логин и пароль, но в нынешние времена это всего лишь вопрос времени
Логин сервер как вы понимаете, настроен таким образом что он может рулить базой данных, получать с нее данные, вносить изменения, а так же делать все что хочешь по сути.
Какой-то умный чувак, сбрутил доступ к логин серверу и положил всю инфраструктуру сервера.
Есть нехуевая вероятность что админы не извлекут из этого урока. Аверия 3 года существовала без единого вайпа, еглобал за 2 недели после покупки сборки уже успел ее уронить. На еглобале кстати вайпы и взломы были весьма популярной хуйней.
Поэтому есть нехилая вероятность что история повторится.
Никуда идти не призываю, думайте сами что дальше делать.
Edit 1. Админы начали удалять домены, но интернет помнит все:
За 2 недели до старта сборку, весь персонал и всю инфраструктуру Averia.ws купили ребята из l2e-global.com
В качестве пруфа могу привести вот такие ссылки:
averia.l2e-global.com
forum-averia.l2e-global.com
updater-averia.l2e-global.com
c этого начался 3.14здец
Они перенесли все сервисы аверии на свои мощности, в том числе логин сервер (который и сыграл злую шутку)
Обычно все важные и критичные сервисы администрация прячет за защитой от DDOS-a (Cloudflare) этот же клаудфлейр защищает их от всякого рода атак.
Админы еглобала то ли долбаебы, то ли жадные пидары, решили спрятать все сервисы аверии, кроме!!! логин сервера
А еще эти долбоебы оставили 2 интерфейса удаленного управления сервером открытыми для любых пацанов из интернета. Все что нужно было сделать это угадать логин и пароль, но в нынешние времена это всего лишь вопрос времени
Логин сервер как вы понимаете, настроен таким образом что он может рулить базой данных, получать с нее данные, вносить изменения, а так же делать все что хочешь по сути.
Какой-то умный чувак, сбрутил доступ к логин серверу и положил всю инфраструктуру сервера.
Есть нехуевая вероятность что админы не извлекут из этого урока. Аверия 3 года существовала без единого вайпа, еглобал за 2 недели после покупки сборки уже успел ее уронить. На еглобале кстати вайпы и взломы были весьма популярной хуйней.
Поэтому есть нехилая вероятность что история повторится.
Никуда идти не призываю, думайте сами что дальше делать.
Edit 1. Админы начали удалять домены, но интернет помнит все:
О каких двух неделях речь? Все тут правда, кроме сроков. Раньше они ее купили намного.Вот вам небольшая инфа для размышления по поводу Averia.ws и его будущего.
За 2 недели до старта сборку, весь персонал и всю инфраструктуру Averia.ws купили ребята из l2e-global.com
В качестве пруфа могу привести вот такие ссылки:
averia.l2e-global.com
forum-averia.l2e-global.com
updater-averia.l2e-global.com
c этого начался 3.14здец
Они перенесли все сервисы аверии на свои мощности, в том числе логин сервер (который и сыграл злую шутку)
Обычно все важные и критичные сервисы администрация прячет за защитой от DDOS-a (Cloudflare) этот же клаудфлейр защищает их от всякого рода атак.
Админы еглобала то ли долбаебы, то ли жадные пидары, решили спрятать все сервисы аверии, кроме!!! логин сервера
А еще эти долбоебы оставили 2 интерфейса удаленного управления сервером открытыми для любых пацанов из интернета. Все что нужно было сделать это угадать логин и пароль, но в нынешние времена это всего лишь вопрос времени
Логин сервер как вы понимаете, настроен таким образом что он может рулить базой данных, получать с нее данные, вносить изменения, а так же делать все что хочешь по сути.
Какой-то умный чувак, сбрутил доступ к логин серверу и положил всю инфраструктуру сервера.
Есть нехуевая вероятность что админы не извлекут из этого урока. Аверия 3 года существовала без единого вайпа, еглобал за 2 недели после покупки сборки уже успел ее уронить. На еглобале кстати вайпы и взломы были весьма популярной хуйней.
Поэтому есть нехилая вероятность что история повторится.
Никуда идти не призываю, думайте сами что дальше делать.
Edit 1. Админы начали удалять домены, но интернет помнит все:
Твое предложение напоминает проверки по всей россии после пожара, тут как говорится, позняк метаться, проблема слития баз не нова, и если аккаунты игроков твоего сервера оказались под угрозой компрометации после того как какие то дауны проепали свою бд, то уж извините, вы ничем не отличаетесь от этих самых даунов
При чем тут проверки после пожара? Я и не говорил, что мои предложения как то защитят от слива бд). Не знаю к чему тут "позняк метаться". Элементарная суть ранее сказанного в том, что базу аверии могут расхешировать и использовать для брута других серверов. Я об этом уже 2 раза упоминал, но по какой то причине для некоторых мои сообщения оказались сложными для усвоения.
Тогда попробуем так:
Вопрос безопасности сервера (защита MySQL от слива), и защита от брута - это 2 разных вопроса, но все же ты скомкал все в вкучу. Меня не заботят причины слива базы аверии - это их проблемы. Сам факт в том, что бд уже слита и может использоваться для брута, отсюда логично, что я озвучил некоторые простые и эффективные меры, которые используются на многих проектах.
Сначала ты говоришь, что предлагаемые мной меры нубовство:
*ставить на серверах префиксы в обязательном порядке, чтобы в множество раз увеличить кол-во комбинаций.
*минимальную длинну пароля побольше, и требования к наличию символов, чисел и заглавных букв.
*мотивировать к привязке по hwid
*поставить второй числовой пароль
*подключить модуль верификации соединений логин сервера (есть у стрикса). Чтобы с тысяч прокси и эмуляцией клиента не брутили по 1к+ комбинаций в секунду.
*минимальную длинну пароля побольше, и требования к наличию символов, чисел и заглавных букв.
*мотивировать к привязке по hwid
*поставить второй числовой пароль
*подключить модуль верификации соединений логин сервера (есть у стрикса). Чтобы с тысяч прокси и эмуляцией клиента не брутили по 1к+ комбинаций в секунду.
А сейчас ты по сути называешь даунами тех, кто не принимает меры от брута:
Выводы я озвучивать не буду, чтобы не задеть чье либо достоинство и уровень профессионализма) и ни в коем случае ничего не навязываю, у каждого своя голова на плечах.
Последнее редактирование:
Самое тупое, что все осуждают админов, не зная проблемы, говорят как нужно делать, а сами держат проекты, которые собирают по 10 человек онлайна и никто их никогда не DDoSит, не взламывает, потому что они просто никому не нужны. Нормальный же человек знает, что любая система не безопасна. Наверно глупо называть системных администраторов пентагона глупцами, не так ли? Но их взламывали ни 1 раз.
Откуда мы знаем, на каком уровне был взлом аверии)
Похоже, мои предложения слишком сложны, и не все их понимают, давайте попробую по проще.При чем тут проверки после пожара? Я и не говорил, что мои предложения как то защитят от слива бд). Не знаю к чему тут "позняк метаться". Элементарная суть ранее сказанного в том, что базу аверии могут расхешировать и использовать для брута других серверов. Я об этом уже 2 раза упоминал, но по какой то причине для некоторых мои сообщения оказались сложными для усвоения.
Тогда попробуем так:
Вопрос безопасности сервера (защита MySQL от слива), и защита от брута - это 2 разных вопроса, но все же ты скомкал все в вкучу. Меня не заботят причины слива базы аверии - это их проблемы. Сам факт в том, что бд уже слита и может использоваться для брута, отсюда логично, что я озвучил некоторые простые и эффективные меры, которые используются на многих проектах.
Сначала ты говоришь, что предлагаемые мной меры нубовство:
*ставить на серверах префиксы в обязательном порядке, чтобы в множество раз увеличить кол-во комбинаций.
*минимальную длинну пароля побольше, и требования к наличию символов, чисел и заглавных букв.
*мотивировать к привязке по hwid
*поставить второй числовой пароль
*подключить модуль верификации соединений логин сервера (есть у стрикса). Чтобы с тысяч прокси и эмуляцией клиента не брутили по 1к+ комбинаций в секунду.
А сейчас ты по сути называешь даунами тех, кто не принимает меры от брута:
Выводы я озвучивать не буду, чтобы не задеть чье либо достоинство и уровень профессионализма) и ни в коем случае ничего не навязываю, у каждого своя голова на плечах.
1) Принудительные префиксы и пароли на 100500 символов - это плохо.
2) Базы сливают не первый раз, меры против брута должны были приняты за долго как упала аверия
Это все, что я хотел сказать, надеюсь, ничего сложного?
