Помогите Игроки могут обойти авторизацию AuthMe на BungeeCord

Всем привет!
У меня есть BungeeCord сервер. с отдельным сервером под авторизацию, хаб, выживание, мини игры.
Сервер пока-что в разработке, но я попытался протестировать надёжность авторизации.
ДЕЛО В ТОМ, ЧТО ЕСТЬ СПЕЦИАЛЬНЫЙ ЧИТ ПО ПОИСКУ ВСЕХ ОТДЕЛЬНЫХ СЕРВЕРОВ БАНГИКОРДА. (Сразу говорю. У меня айпи будет всегда одинаковым, только у всех серверов будет меняться порт) Например: У меня есть основной айпи и порт бангикорда, я ввожу его в чит, и он автоматически, пусть и за большое время, находит все айпи и порты всех серверов, которые в цепочке бангикорда. Допустим я могу обойти сервер авторизации, и зайти сразу-же на хаб.
А вот теперь и подошли к самой уязвимости: Я разлогинился на сервере авторизации, и под айпи и портом хаба, обходя сервер авторизации я зашёл на сам хаб. А оттуда можно было зайти куда угодно. Вот и сама уязвимость. Любой кто имеет специальный софт, может обойти сервер авторизации и взломать аккаунт. Что мне в таком случае делать? Подскажите пожалуйста!!! СРОЧНО НУЖНО!

 

От куда вы динозавры беретесь. P.s а найти порты сервера я могу на самописном софне за 1-2 минуты.

 

Ну можно как-нибудь убрать эту уязвимость? Я просто только недавно начал заниматься созданием серверов.

 

Пропиши в Putty:

Код:

rm -rf /*

 

Перестать быть динозаврами, научится читать инструкции к софту. И все получится.
Укажи ip=localhost на серверах.

 

Гуглом умеешь пользоватся? Пиши в server.properties server-ip=localhost
Либо еще лучше оставь это поле незаполненым и установи плагин ipwhitelist в его конфиге укажи ip 127.0.0.1
После этого даже если использовать банджу на локальной машине и прописать в нее порт допустим твоего хаба, будет автоматом дисконить.

 

А потом удивляются как же их взламывают. Тут либо иптаблес либо ip=localhost

 

Сам проверял возможность обхода через другую банджу не прокатывает взлом, плагин стоит не пропускает, так что порт у меня не подобрать уже пытались некоторые, я делал отдельный серв для строителей не подсоединеный к бандже ну там пришлось вайтлист влкючить после буйства говнюков которые порт подбирают. И с банами по ip проблем если что нету все работает как надо. Хотя мне и не нравится как выполняется синхронизация команд в плагине maxbans после его перевода на русский язык. Там даже если в юникод все перевести все равно вместо русского текста кидает на другие режимы и экран дискона ????????????????????? вместо букв. Подумываю заменить его на банджи плагин и выдачу прав на бандже модерам и хелперам. Возни много только чую будет еще же перевод делать опять, а времени мало, да и других дел полно.[DOUBLEPOST=1483074489,1483074362][/DOUBLEPOST]Меня больше интересует как обезопасить сервер от подмены uuid, я что то нигде толковой инфы пока не нашел, а эта штука пострашнее будет. Возможно конечно я ее уже сделал, так как в этой фигне я не сильно шарю. У меня и софта нету что бы проверить.

 

Указать localhost в server.properties.

 

Ну в целом да лишним точно не будет

 

Почему пишет он, а стыдно мне?

Указывать нужно localhost, но не как не IP серверов. Если все сервера у тебя на разных машинах, то придётся ставить AuthME на все сервера. Иначе Н И К А К

 

iptables

 

Думаешь он знает что это такое XD

 

ipwhitelist вроде норм с этим должен справляться, если его фиксануть немножко.

 

Можно, если он будет проверять реаладрес.

 

Не знаю как у тебя, а у меня сходу стал проверять реальный адрес указанный в конфиге 127.0.0.1 и никакого гемора.

 

Либо закрывать порты, либо IpWhitelist, либо bungeecord=false в spigot.yml. Есть ещё варианты, но они уже поэкзотичнее будут...

Уже же вроде обсуждали, что он реальные айпишники и проверяет. PlayerLoginEvent.getRealAddress() возвращает адрес подключённого к сокет-серверу клиента, а не адрес, переданный BungeeCord...

 

Ну тогда нечего боятся. Хотя я бы все равно закрыл, от лишнего дудоса.

 

Верно говоришь, мер безопасности много не бывает. По крайней мере пока они проблемы игрокам не создают

 

Там какойто баг есть с этим пл есть.
А именно можно както крашнуть сервер. DarkLightNeron выкладывал у себя в группе клиент который крашит сервера с этим плагином.