Falha de Segurança rAthena

[retsaoremo]

Pessoal estava eu lá no meu servidor, mid rate cartas mvp 0.01%, quando vou ao pvp dar uma olhada vejo um indivíduo matando geral. Tava muito op. Quando olho o alt+q dele, equips OP tudo +20, diversas cartas MVP.

Só tem eu e mais um amigo de adm com todos os comandos, porém este amigo meu está viajando.

Olhei todas as contas no banco de dados e tmb não reparei nenhuma anormalidade como group_id maior que os de jogadores normais.

Olhei também o log de Atcommand, nada fora do normal.

 

Então esse jogador me passou o skype do cara que fez isso pra ele. Bani o indivíduo do servidor e fui adicionar o skype do cara pra falar com ele.

E bem no "mensagem" do skype dele diz que ele vende cartas Mvp e Refine em quase todos os privates e no bro só vende refine.

 

Tentei arrancar alguma coisa dele pra ver se havia alguma falha e ele diz:

"Não tem problema teu servidor, eu consigo desenvolver isso em quase todos servidores."

 

" eu não zouo servidores, eu faturo com eles e com a staff corrupta, todo private a staff é corrupta e favorece outros players, seja com cash, vip enfim. Não vou zoar teu servidor, se fosse pra zuar, eu já teria dado itens a todos, e o servidor viveria de rollback, wipe. Eu vendo cartas no jogo, se algum player me procurar, eu negocio com ele, é isso que acontece. O Zé foi porquê eu devia a ele, não faço de graça. Eu lhe entendo, eu também não deixaria, mas a vida é assim cara."

 

"Sinto muito cara, a falha é global. Não tem aonde concertar nesse caso."

 

Pessoal precisamos analisar isso. Como eu disse, já discartei chance de hackeamento de contas de adm.

[Elf0]

Me informe o nome do seu servidor.

[retsaoremo]

Pra que isso é importante?

[Elf0]

Pra mim ver se a falha é no emulador ou no site/painel de controle.

Assim posso te informar se o problema e realmente no emulador, por que muita gente ai usa esse emulador e ninguém tem problemas assim e se for realmente no emulador vou estar procurando o problema antes de inaugurar meu servidor.

Edited February 6, 2014 by Elf0

[retsaoremo]

Te mandei por PM

[Strow]

Existem diversas formas de se bloquear ataques e investidas de hackers. Obviamente é impossível se proteger 100%, mas existe como garantir uma qualidade de segurança exemplar. Primeiro especifique que tipo de cp você está utilziando: fluxcp ou ceres ? Busque na internet um analisador de vulnerabilidade existem vários para aplicações web. Se o seu site estiver em php ou jsp ele necessita ter códigos para gerir a segurança... Recomendo você utilizar o ModSecurity para bloquear ações hackers além dos códigos de segurança, ou indique para sua hospedagem... É  de total responsabilidade da hospedagem lhe informar caso algum de seus sites esteja sendo invadido. Eles não podem garantir a sua segurança, mas eles tem que lhe informar se requisições mal intencionadas estão ocorrendo, e se a invasão for direto no servidor deles, a culpa é deles! Se você não tem noções de segurança em php, utilize sites em html e css apenas, poderia até te recomendar o fluxcp para ter mais segurança como todos dizem, mas a grande maioria dos sites feitos em fluxcp hoje, estão com vulnerabilidades de blind sql injection e XSS (Cross Script)... Então acho que valeria uma estudada e você desenvolver seu próprio sistema de registro com códigos anti injection de php e sql, e obviamente algo em para garantir o xss, ai poderia te afirmar que teria mais segurança do que esses cp's que estão no mercado... Outra forma de garantir sua segurança é obtendo certificados de segurança que também irão bloquear ataques ao site...

 

Espero ter ajudado em algo, ou pelo menos passado uma noção... Mas como o próprio invasor disse, é um erro global, não creio que ele tenha encontrado uma vulnerabilidade no emulador e sim nas aplicações que tenham entrado em conjunto com ele... Como CP's e sites... Ou no próprio servidor da hospedagem.

 

OBS: Foi divulgado um site do cerescp (http://rathena.org/board/files/file/2836-cerescp-default-theme/) se não me engano ele trás ferramentas para gerir ataques contra sql injection, pode verificar o código e tomar como base, pois muitos dos códigos que dizem que fazem isso na web são ultrapassados... Outra coisa, o motivo de ele não ter deixado rastros onde  você procurou pode ser pelo fato de justamente ele ter invadido via sql e com acesso ao seu phpMyAdmin, ou por simples injeções ele poderia criar os itens e refinamentos direto no personagem, então solicitar da hospedagem o log dos ip's que tiveram acesso ao phpMyAdmin ou se ocorreu algum acesso indevido, o firewall dele deve constar o acesso de algum modo!

[Wolf]

A falha de segurança não é no rAthena, e sim no seu dedicado/hoster, cada um tem que aprender a se proteger manualmente.