WTF?! Не объяснимо, но факт. MU Online, Защита

[spekinskii]

Всем доброго времени суток.
Сегодня случайно решил полистать чат лог, и вот что я увидел.
[00:02:39] [sasa11:Admin] [Chat]    /drop 1 13 21 13 1 1 7 63
[00:03:14] [sasa11:Admin] [Chat]    /drop 1 13 13 13 1 1 7 63
И так далее..
Хотя аккаунт Администратора существуем и совсем не такой.
Заходим на акк, а там фулл вещи. Самого персонажа с ником Admin не существует на аккаунте sasa11 и создать неполучилось.
Порты левые все закрыты кроме CS, GS, GS_CS
Как такое реально ? :why:

[SmallHabit]

Чья сборка? Какие команды есть? какие права для них.

[spekinskii]

Чья сборка? Какие команды есть? какие права для них.

IA Julia
дроп, гг, релоад, сетзен.
могу только использовать под своим ником.

[Profesor08]

Под своим ником? Ооо ну тогда попросту пакетик поправили все гуд..

[SmallHabit]

IA Julia
дроп, гг, релоад, сетзен.
могу только использовать под своим ником.

Если паблик джулия, то скорее всего есть бэкдор комманды. А так вообще да... есть вариант отправлять просто пакеты =)

[Profesor08]

Либо запилили персонажа. Намутили шмота, удалил персонажа от греха подальше.

Дайте какой-то сервер, где стоит эта сборка и известны имена ГМов и Одминов.

[spekinskii]

Дайте какой-то сервер, где стоит эта сборка и известны имена ГМов и Одминов.

Я могу свой дать.
Может я что-то в исходнике накосячил..хотя вряд ли..


Тебе для каких то целей?

Если паблик джулия, то скорее всего есть бэкдор комманды. А так вообще да... есть вариант отправлять просто пакеты =)

Этот пункт исключен.
Порты закрыты.

[SmallHabit]

Порты закрыты.

Порты ГСа? А как у тебя тогда игроки играют... Я говорил про отправку пакетов на ГС, просто если у тебя Julia это .90 Гс, а значит есть возможность слать пакеты на прямую, это уже проверенный факт. +)

[moloko]

Если в логах пишет  что делали через команду /drop, то пакеты тут причем могут быть ?

[SmallHabit]

Если в логах пишет что делали через команду /drop, то пакеты тут причем могут быть ?

:facepalm:

Ты когда своими корявыми ручками пишешь в чате команду /drop - твой клиент отправляет... *барабанная дробь*... пакеты!!!

[spekinskii]

Странно.. А почему тогда фарик не среагировал на это?
Вообщем хз что это было.
Интересно аж самому как это все произошло.

[moloko]

Не нужно изучать мои ручки, вы не чего о них не знаете как и обомне и не когда не узнаете! Я имел виду о сторонних пакетах! которые наврядли заносятся в логи как /drop, по крайне мере я такого не видел. Причем помнится на Tornado сборки в 2011 я заходил как то на один из серверов, и что же там было, у малыша был ник Admin, акаунт я не знал, я создал свой Акаунт- (amadei), зашел под (Amadei) с большой буквы, создал Admin - и начал пользоваться /drop.

[user_MU]

Запретить команду /дроп на сервере. Вот решение проблемы. Нужные вещи рисовать мейкером либо через вебшоп\админку сайта. Тем более, если мне не изменяет память, в поделках рмст была возможность дропать вещи из командной строки на сервере.

Хотя все таки интересно как это произошло. Теоретически остальные сборки на этом ГС имеют такую же уязвимость.

[epmak]

Спойлер

теоретически только те, которые писаны на основе рмст разработок(если код перебирали, то не факт), ибо о такой проблеме, слышу впервые, хотя не факт, что оной не было(ибо мушники хуже пойманных партизанов - хоть режь, хоть пили, молчат, хотя выгоднее рассказать, чтобы пофиксили. относится вообще к му в целом, не конкретно к серверам). Проделка с пакетами(скорее всего), после подглядывание в исходники, что то мне подсказывает.

[свернуть]

[KpoJIuKK]

Могу сказать одно всем вам во всём виноват сайт и соответственно скрой майн так как дажи с обычным хасти на твой серв заходят дажи лаунчера нету..   это первое второе меняли тебе ник на другой на своём аки ставили админку и ставили твой ник что бы не палится )) на сервер не пелите...меняй просто веб)  P.S ILoveganja

[epmak]

Спойлер

от печаль - то а..
"шарик - ты балбес" ©
молчать надо громче КАК ломал. этж перебрали бы все, потом к сайту пришли

[свернуть]

[KpoJIuKK]

Спойлер

от печаль - то а..
"шарик - ты балбес" ©
молчать надо громче КАК ломал. этж перебрали бы все, потом к сайту пришли

[свернуть]

MMW уже не актуален...и начали сразу с сайта а как ломал это моё личное дело)когда я оброщался к народу за помощю мне говорили гугл в помощ или $ так вот гугл в помощ хотя там врядтли это есть или $ хотя в этом тоже не нуждаюсь..я любитель просто поиграть...

[madias]

Кажись я тупой... А при чём сайт к серверу?

То что нету защиты и клиент легко заменитт это пусть...
Ладно на сайте взломали админку, но разве можно в админке дать права ГМа? Даже если вы смените админа ник и себе поставите его же ник, вам сервер откроет команды но база нет поскольку нету статуса ГМа, значит нужен инжект на то чтоб именно чар (у него есть свой номер) получил ГМку в базе.

Или всё не так как я написал?

[KpoJIuKK]

Права давал себе в админ панели и не гм-а а полный доступ админа.. админу просто менял ник на другой себе ставил его заходил на сервер и рисовал всем вещи и т.д) так как админ дажи в скайп меня добовлять не хотел что бы я ему описал проблемы и то что у него можно пользаватся самым обычным багом с 2 окнами...да и вообще это естественно что поломали потому что это обычный ...открою сервер срублю бобла

[madias]

Ясненько. А мы уже начали искать решение с подменой пакетов и реально ли у нас =).
П.С. Два окна - не баг. Админ сам выбирает позволять ли играть в два окна. Да и это легко обойти через песочницу. Лично я специально позволил. Многие игроки приходят играть на серв сами и находят решение в игре в 2-х окнах ее+дамагер