Хостинг серверов Minecraft playvds.com
  1. Вы находитесь в русском сообществе Bukkit. Мы - администраторы серверов Minecraft, разрабатываем собственные плагины и переводим на русский язык плагины наших собратьев из других стран.
    Скрыть объявление

Помогите Игроки могут обойти авторизацию AuthMe на BungeeCord

Тема в разделе "Помощь", создана пользователем moljangFeeD, 24 дек 2016.

?

Можно ли исправить эту уязвимость со взломом?

  1. Да

    10 голосов
    83,3%
  2. Незнаю

    2 голосов
    16,7%
  3. Нет

    0 голосов
    0,0%
  1. Автор темы
    moljangFeeD

    moljangFeeD Активный участник

    Баллы:
    61
    Имя в Minecraft:
    moljangFeeD
    Всем привет!
    У меня есть BungeeCord сервер. с отдельным сервером под авторизацию, хаб, выживание, мини игры.
    Сервер пока-что в разработке, но я попытался протестировать надёжность авторизации.
    ДЕЛО В ТОМ, ЧТО ЕСТЬ СПЕЦИАЛЬНЫЙ ЧИТ ПО ПОИСКУ ВСЕХ ОТДЕЛЬНЫХ СЕРВЕРОВ БАНГИКОРДА. (Сразу говорю. У меня айпи будет всегда одинаковым, только у всех серверов будет меняться порт) Например: У меня есть основной айпи и порт бангикорда, я ввожу его в чит, и он автоматически, пусть и за большое время, находит все айпи и порты всех серверов, которые в цепочке бангикорда. Допустим я могу обойти сервер авторизации, и зайти сразу-же на хаб.
    А вот теперь и подошли к самой уязвимости: Я разлогинился на сервере авторизации, и под айпи и портом хаба, обходя сервер авторизации я зашёл на сам хаб. А оттуда можно было зайти куда угодно. Вот и сама уязвимость. Любой кто имеет специальный софт, может обойти сервер авторизации и взломать аккаунт. Что мне в таком случае делать? Подскажите пожалуйста!!! СРОЧНО НУЖНО!
     
  2. Хостинг MineCraft
    <
  3. alexandrage

    alexandrage Администратор

    Баллы:
    173
    Skype:
    alexandr0116
    От куда вы динозавры беретесь. P.s а найти порты сервера я могу на самописном софне за 1-2 минуты.
     
  4. Автор темы
    moljangFeeD

    moljangFeeD Активный участник

    Баллы:
    61
    Имя в Minecraft:
    moljangFeeD
    Ну можно как-нибудь убрать эту уязвимость? Я просто только недавно начал заниматься созданием серверов.
     
  5. NuaN

    NuaN Активный участник Пользователь

    Баллы:
    76
    Имя в Minecraft:
    NuaN
    Пропиши в Putty:
    Код:
    rm -rf /*
     
  6. alexandrage

    alexandrage Администратор

    Баллы:
    173
    Skype:
    alexandr0116
    Перестать быть динозаврами, научится читать инструкции к софту. И все получится.
    Укажи ip=localhost на серверах.
     
  7. glavrak

    glavrak Активный участник Пользователь

    Баллы:
    76
    Имя в Minecraft:
    Mr_Krab
    Гуглом умеешь пользоватся? Пиши в server.properties server-ip=localhost
    Либо еще лучше оставь это поле незаполненым и установи плагин ipwhitelist в его конфиге укажи ip 127.0.0.1
    После этого даже если использовать банджу на локальной машине и прописать в нее порт допустим твоего хаба, будет автоматом дисконить.
     
  8. alexandrage

    alexandrage Администратор

    Баллы:
    173
    Skype:
    alexandr0116
    А потом удивляются как же их взламывают. Тут либо иптаблес либо ip=localhost
     
  9. glavrak

    glavrak Активный участник Пользователь

    Баллы:
    76
    Имя в Minecraft:
    Mr_Krab
    Сам проверял возможность обхода через другую банджу не прокатывает взлом, плагин стоит не пропускает, так что порт у меня не подобрать уже пытались некоторые, я делал отдельный серв для строителей не подсоединеный к бандже ну там пришлось вайтлист влкючить после буйства говнюков которые порт подбирают. И с банами по ip проблем если что нету все работает как надо. Хотя мне и не нравится как выполняется синхронизация команд в плагине maxbans после его перевода на русский язык. Там даже если в юникод все перевести все равно вместо русского текста кидает на другие режимы и экран дискона ????????????????????? вместо букв. Подумываю заменить его на банджи плагин и выдачу прав на бандже модерам и хелперам. Возни много только чую будет еще же перевод делать опять, а времени мало, да и других дел полно.[DOUBLEPOST=1483074489,1483074362][/DOUBLEPOST]Меня больше интересует как обезопасить сервер от подмены uuid, я что то нигде толковой инфы пока не нашел, а эта штука пострашнее будет. Возможно конечно я ее уже сделал, так как в этой фигне я не сильно шарю. У меня и софта нету что бы проверить.
     
  10. L4c05t

    L4c05t Активный участник Пользователь

    Баллы:
    78
    Имя в Minecraft:
    Lacost
    Указать localhost в server.properties.
     
  11. glavrak

    glavrak Активный участник Пользователь

    Баллы:
    76
    Имя в Minecraft:
    Mr_Krab
    Ну в целом да лишним точно не будет
     
  12. ReyCODE

    ReyCODE Участник Пользователь

    Баллы:
    31
    Имя в Minecraft:
    ReyCODE
    Почему пишет он, а стыдно мне?

    Указывать нужно localhost, но не как не IP серверов. Если все сервера у тебя на разных машинах, то придётся ставить AuthME на все сервера. Иначе Н И К А К
     
  13. alexandrage

    alexandrage Администратор

    Баллы:
    173
    Skype:
    alexandr0116
    iptables
     
  14. ReyCODE

    ReyCODE Участник Пользователь

    Баллы:
    31
    Имя в Minecraft:
    ReyCODE
    Думаешь он знает что это такое XD
     
  15. slavik123123123

    slavik123123123 Старожил Пользователь

    Баллы:
    143
    Имя в Minecraft:
    Leymooooooooooo
    ipwhitelist вроде норм с этим должен справляться, если его фиксануть немножко.
     
  16. alexandrage

    alexandrage Администратор

    Баллы:
    173
    Skype:
    alexandr0116
    Можно, если он будет проверять реаладрес.
     
  17. glavrak

    glavrak Активный участник Пользователь

    Баллы:
    76
    Имя в Minecraft:
    Mr_Krab
    Не знаю как у тебя, а у меня сходу стал проверять реальный адрес указанный в конфиге 127.0.0.1 и никакого гемора.
     
  18. Dymeth

    Dymeth Активный участник Пользователь

    Баллы:
    76
    Либо закрывать порты, либо IpWhitelist, либо bungeecord=false в spigot.yml. Есть ещё варианты, но они уже поэкзотичнее будут...

    Уже же вроде обсуждали, что он реальные айпишники и проверяет. PlayerLoginEvent.getRealAddress() возвращает адрес подключённого к сокет-серверу клиента, а не адрес, переданный BungeeCord...
     
  19. alexandrage

    alexandrage Администратор

    Баллы:
    173
    Skype:
    alexandr0116
    Ну тогда нечего боятся. Хотя я бы все равно закрыл, от лишнего дудоса.
     
  20. glavrak

    glavrak Активный участник Пользователь

    Баллы:
    76
    Имя в Minecraft:
    Mr_Krab
    Верно говоришь, мер безопасности много не бывает. По крайней мере пока они проблемы игрокам не создают :cool:
     
  21. slavik123123123

    slavik123123123 Старожил Пользователь

    Баллы:
    143
    Имя в Minecraft:
    Leymooooooooooo
    Там какойто баг есть с этим пл есть.
    А именно можно както крашнуть сервер. DarkLightNeron выкладывал у себя в группе клиент который крашит сервера с этим плагином.
     

Поделиться этой страницей