Podszywanie pod admina

Dyskusja w 'Archiwum' rozpoczęta przez użytkownika takisobienick, Mar 26, 2012.

Status tematu:
Brak możliwości dodawania odpowiedzi.
  1. takisobienick
    Offline

    takisobienick Nowicjusz

    Wiadomości:
    0
    Polubienia:
    0
    Punkty:
    1
    Witam.

    Mamy serwerek 80slotowy, cieszy sie niezłą popularnoscia ale jest problem. Godzinę temu ktoś wszedł na serwer pod nickiem admina, tyle ze zmienił nick z np. jacek na Jacek. I udało mu sie obejsc tym samym kontrole authme, a bukkit wykrył go jako opa np. jacek.

    Zatrzymał serwer, probowal przejsc do shella i usunac zawartosc serwera rm / ale nieogarniety chlopaczek zapomniał nie umiał obejsc blokady sudo.

    dostał perma ale co robic, jak sie zabezpieczyc przed takimi atakami? Kazdy moze tak wejsc, to jakis bug? Wczesniej tego nie było.

    Mamy bukkit 1.2.4 dev i authme 1.2.4 dev.
     
  2. er007
    Offline

    er007 Użytkownik

    Wiadomości:
    117
    Polubienia:
    60
    Punkty:
    28
    Najlepiej połączyć authme z bazą danych i gracze będą logowali się z IP.
    (nie będzie /register, /login)
     
  3. skajper
    Offline

    skajper Użytkownik

    Wiadomości:
    34
    Polubienia:
    24
    Punkty:
    103
    Ciekawa rzecz, testowałem na xauth, nie ma tam takiego błędu
     
  4. what
    Offline

    what Użytkownik

    Wiadomości:
    33
    Polubienia:
    20
    Punkty:
    58
    Testowałem na AuthMe. Może być tylko jeden gracz z takim samym nickiem (niezależnie od wielkości liter). Jak z serwera(gry) dostał się do shella?
     
  5. skajper
    Offline

    skajper Użytkownik

    Wiadomości:
    34
    Polubienia:
    24
    Punkty:
    103
    Również sprawdziłem Authme i jest niezależność wielkości liter, której wersji używasz ?
     
  6. what
    Offline

    what Użytkownik

    Wiadomości:
    33
    Polubienia:
    20
    Punkty:
    58
    Ostatniej dev (AuthMe Reloaded 2.6.3b7).
     
  7. takisobienick
    Offline

    takisobienick Nowicjusz

    Wiadomości:
    0
    Polubienia:
    0
    Punkty:
    1
    Identyczną, tyle że offline. Plugin korzysta ze swojego pliku db w swoim folderze bez bazy mysql.

    Czyli podpiąć po prostu pod baze mysql?
     
  8. what
    Offline

    what Użytkownik

    Wiadomości:
    33
    Polubienia:
    20
    Punkty:
    58
    U mnie authme na pliku .db nie pozwala na używanie jednego nicku wielkrotnie(różne wielkości liter np. what wHat), trzeba znać hasło do tego konta.
     
  9. er007
    Offline

    er007 Użytkownik

    Wiadomości:
    117
    Polubienia:
    60
    Punkty:
    28
    Chyba tak
     
  10. takisobienick
    Offline

    takisobienick Nowicjusz

    Wiadomości:
    0
    Polubienia:
    0
    Punkty:
    1
    Dzięki za pomoc ;)
     
Status tematu:
Brak możliwości dodawania odpowiedzi.