Search the Community

Исправление SQL-инъекции в AccountServer MAC-адрес — уникальный идентификатор, присваиваемый каждой единице активного оборудования или некоторым их интерфейсам в компьютерных сетях Ethernet. Википедия - Свободная энциклопедия Привет! В данной статье я хочу поговорить об уязвимости в AccountServer.exe, которая позволяет злоумышленникам проводить внедрение вредоносного SQL-кода и редактировать базу данных AccountServer по их усмотрению. Таким образом, злоумышленник может, например, заблокировать все аккаунты на сервере, из-за чего игроки не смогут попасть в игровой мир, либо вообще удалить все учетные записи пользователей. 1. Суть и причины уязвимости После того, как игрок успешно вошел в свою учетную запись используя логин и пароль, AccountServer.exe выполняет SQL-запрос к одноименной базе данных AccountServer, чтобы обновить IP- и MAC-адреса клиента, время входа пользователя, название экземпляра GroupServer, от которого был получен пакет аутентификации, и установить флаг по которому можно определить авторизован ли пользователь в данный момент времени или нет: UPDATE account_login SET login_status = %d, login_group = '%s', enable_login_time = getdate(), last_login_time = getdate(), last_login_mac = '%s', last_login_ip = '%s' WHERE id = %d Уязвимость заключена в параметре last_login_mac, которому с помощью строкового маркера %s может присваивается любая текстовая строка: last_login_mac = '%s' В базе данных AccountServer в таблице аккаунтов account_login хранятся MAC-адреса всех клиентов. Поскольку через сеть Интернет нельзя узнать MAC-адрес сетевого адаптера пользователя, в отличие от IP-адреса, то, по идее разработчиков, игровой клиент, запущенный на пользовательском компьютере, должен получить MAC-адрес сетевого интерфейса и записать его в пакет аутентификации (ID: 431), после чего отравить MAC вместе с пакетом аутентификации на сервер. Далее адрес передается в AccountServer.exe и сохраняется в базе данных. Проблема в том, что в AccountServer.exe принятая строка с MAC-адресом никак не проверяется на соответствие формату MAC (XX-XX-XX-XX-XX-XX-XX-XX, где X символы 0 - 1 или A - F), то есть на сервер можно отправить любую строку и она будет вставлена в вышеприведенный SQL-запрос вместо маркера %s и сохранена в базе данных, что, в свою очередь, предоставляет возможность внедрения произвольного SQL-кода в запрос. В качестве примера внедрим в SQL-запрос вредоносный код, который заблокирует все учетные записи пользователей. Для этого вместо MAC-адреса необходимо отправить на сервер следующую строку: 1'; update account_login set ban=1;-- Далее она будет подставлена в изучаемый SQL-запрос и в результате будет сформирован новый запрос: UPDATE account_login SET login_status = %d, login_group = '%s', enable_login_time = getdate(), last_login_time = getdate(), last_login_mac = '1'; update account_login set ban=1;--', last_login_ip = '%s' WHERE id = %d Проанализируем что делает с базой данных SQL-запрос с внедренным вредоносным кодом: 1) Обновляет поля login_status. login_group, enable_login_time, last_login_time для ВСЕХ пользователей, что некорректно, так как эти поля должны обновляться только для текущего пользователя; 2) Присваивает значение "1" MAC-адресам ВСЕХ пользователей, что во-первых, так же некорректно в соответствии с пунктом (1), во-вторых, значение "1" не отражает какой-либо реальный MAC-адрес; 3) Присваивает значение "1" полям ban ВСЕХ пользователей, что означает блокировку всех учетных записей; 4) Поле last_login_ip не обновляется, так как часть запроса, в том числе с условием обновления данных только текущего пользователя, была закомментирована и не обрабатывается SQL Server. В итоге, после исполнения такого SQL-запроса, базе данных аккаунтов будет нанесен определенный ущерб. Последствия рассмотренного примера вполне обратимы, но злоумышленнику ничего не мешает использовать во внедряемом SQL-коде оператор DELETE, который служит для удаления записей из таблиц. В таком случае Вы можете безвозвратно потерять все учетные записи пользователей. 2. Эксплойт Для проверки наличия уязвимости в AccountServer.exe я разработал специальную программу-эксплойт, с помощью которой можно провести атаку на базу данных AccountServer. Также эксплойт понадобится для тестирования защиты, которую мы разработаем в будущем. Скачать эксплойт Исходный код эксплойта (в архиве идет проект Visual Studio 2019 Community) ВНИМАНИЕ! Данная программа не предназначена для взлома игровых серверов и должна использоваться только в учебных и испытательных целях. Автор не несет никакой ответственности за совершенные Вами действия и понесенный кем-либо ущерб. Используйте на свой страх и риск! Чтобы провести попытку внедрения SQL-инъекции запустите программу accountexploit.exe со следующими параметрами: accountexploit ip:<IP-адрес сервера> port:<Порт сервера> login:<Логин> password:<Пароль> version:<Версия сервера> Например: accountexploit ip:127.0.0.1 port:1973 login:V3ct0r password:112233 version:136 Эксплойт запустится и, при условии корректности информации, необходимой для подключения к серверу, начнется процесс тестирования Вашего сервера на уязвимость. В результате Вы должны увидеть одно из двух сообщений. 1. SQL INJECTION SUCCESFULLY DONE! ALL ACCOUNTS ARE BANNED. YOU NEED TO TAKE CARE OF THE SECURITY OF YOUR ACCOUNTSERVER! - В Вашем AccountServer.exe обнаружена уязвимость и Вам необходимо предпринять меры для её устранения; 2. SQL INJECTION FAILED! YOUR ACCOUNTSERVER IS SECURED! - Уязвимость не обнаружена. Ваш AccountServer.exe защищен. Если уязвимость была обнаружена, то нужно её незамедлительно исправить. Как это сделать будет рассмотрено далее. 3. Исправление уязвимости в AccountServer.exe Существует несколько методов исправления уязвимости: 1) Использовать специальные программы-посредники между GateServer и GroupServer, например, Gemini.X.Fail, SQLGuard, Filterserver, которые анализируют пакеты аутентификации на наличие SQL-инъекций; 2) Написать заплатку ("патч") и внедрить её в AccountServer.exe; 3) Разработать библиотеку динамической компоновки (.dll), исправляющую уязвимость, и подключить её к AccountServer.exe. В рамках данной статьи я выберу вариант (2) с написанием и внедрением заплатки как самый оптимальный ввиду относительной простоты исправления уязвимости. Вариант (1) требует разработки и применения дополнительного серверного программного обеспечения, а вариант (3) порождает дополнительные зависимости для AccountServer.exe. По моему мнению, оба последних варианта избыточны. Для заплатки потребуется разработать функцию, которая будет проверять корректность полученной от клиента строки с MAC-адресом. На вход функции будет подаваться строка, MAC-адрес для проверки соответственно, а на выходе функция будет выдавать логическое значение true в случае, если строка корректна, или false, если строка не прошла проверку и вероятно содержит вредоносный код. Чтобы разработать такую функцию, необходимо определить правила валидации. Поскольку в базе данных MAC-адреса хранятся в формате XX-XX-XX-XX-XX-XX-XX-XX, где X символы 0 - 1 или A - F, то будем использовать такой же формат для проверки: 1) Длина строки должна быть ровно 23 символа; 2) Каждый третий символ должен быть дефисом (-); 3) Каждый байт адреса должен быть представлен шестнадцатеричным значением (символы 0 - 1 и A - F). Теперь можно написать функцию проверки MAC-адресов на соответствие установленным правилам. Я применю язык C++: /* Функция для проверки MAC-адреса 1) Длина строки должна быть ровно 23 символа; 2) Каждый третий символ должен быть дефисом(-); 3) Каждый байт адреса должен быть представлен шестнадцатеричным значением(символы 0 - 1 и A - F). */ bool check_mac_address(const char* mac) { // Длина строки MAC-адреса unsigned int length = 0; // Скопируем указатель на строку const char* p = mac; // Получим длину строки MAC-адреса while (*p++) { // Увеличиваем счетчик символов length++; // Проверим длину строки if (length > 23) { // Слишком длинная строка return false; } } // Проверим длину строки if (length != 23) { // Слишком короткая строка return false; } // Проверим каждый символ в строке for (unsigned int i = 0; i < length; i++) { // Берем текущий символ unsigned char c = static_cast<unsigned char>(mac[i]); // Каждый 3-й символ должен быть дефисом (-) if (((i + 1) % 3 == 0) && c != '-') { // Некорретный формат MAC! return false; } // Остальные символы могут принимать значения // 0 - 1 // A - F if ( ((i + 1) % 3 != 0) && ((c >= '0' && c <= '9') || (c >= 'A' && c <= 'F')) == false) { // Некорретный формат MAC! return false; } } // Строка прошла проверку return true; } Скомпилируем разработанную функцию с помощью Microsoft Visual Studio 2019 Community и получим код на языке ассемблера, который можно внедрить в AccountServer.exe: 00F51000 >/$ 55 PUSH EBP 00F51001 |. 8BEC MOV EBP,ESP 00F51003 |. 83EC 18 SUB ESP,18 00F51006 |. B8 CCCCCCCC MOV EAX,CCCCCCCC 00F5100B |. 8945 E8 MOV DWORD PTR SS:[EBP-18],EAX 00F5100E |. 8945 EC MOV DWORD PTR SS:[EBP-14],EAX 00F51011 |. 8945 F0 MOV DWORD PTR SS:[EBP-10],EAX 00F51014 |. 8945 F4 MOV DWORD PTR SS:[EBP-C],EAX 00F51017 |. 8945 F8 MOV DWORD PTR SS:[EBP-8],EAX 00F5101A |. 8945 FC MOV DWORD PTR SS:[EBP-4],EAX 00F5101D |. C745 FC 000000>MOV DWORD PTR SS:[EBP-4],0 00F51024 |. 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8] 00F51027 |. 8945 F8 MOV DWORD PTR SS:[EBP-8],EAX 00F5102A |> 8B4D F8 /MOV ECX,DWORD PTR SS:[EBP-8] 00F5102D |. 0FBE11 |MOVSX EDX,BYTE PTR DS:[ECX] 00F51030 |. 8955 EC |MOV DWORD PTR SS:[EBP-14],EDX 00F51033 |. 8B45 F8 |MOV EAX,DWORD PTR SS:[EBP-8] 00F51036 |. 83C0 01 |ADD EAX,1 00F51039 |. 8945 F8 |MOV DWORD PTR SS:[EBP-8],EAX 00F5103C |. 837D EC 00 |CMP DWORD PTR SS:[EBP-14],0 00F51040 |. 74 18 |JE SHORT 00F5105A 00F51042 |. 8B4D FC |MOV ECX,DWORD PTR SS:[EBP-4] 00F51045 |. 83C1 01 |ADD ECX,1 00F51048 |. 894D FC |MOV DWORD PTR SS:[EBP-4],ECX 00F5104B |. 837D FC 17 |CMP DWORD PTR SS:[EBP-4],17 00F5104F |. 76 07 |JBE SHORT 00F51058 00F51051 |. 32C0 |XOR AL,AL 00F51053 |. E9 B0000000 |JMP 00F51108 00F51058 |>^EB D0 \JMP SHORT 00F5102A 00F5105A |> 837D FC 17 CMP DWORD PTR SS:[EBP-4],17 00F5105E |. 74 07 JE SHORT 00F51067 00F51060 |. 32C0 XOR AL,AL 00F51062 |. E9 A1000000 JMP 00F51108 00F51067 |> C745 F4 000000>MOV DWORD PTR SS:[EBP-C],0 00F5106E |. EB 09 JMP SHORT 00F51079 00F51070 |> 8B55 F4 /MOV EDX,DWORD PTR SS:[EBP-C] 00F51073 |. 83C2 01 |ADD EDX,1 00F51076 |. 8955 F4 |MOV DWORD PTR SS:[EBP-C],EDX 00F51079 |> 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C] 00F5107C |. 3B45 FC |CMP EAX,DWORD PTR SS:[EBP-4] 00F5107F |. 0F83 81000000 |JNB 00F51106 00F51085 |. 8B4D 08 |MOV ECX,DWORD PTR SS:[EBP+8] 00F51088 |. 034D F4 |ADD ECX,DWORD PTR SS:[EBP-C] 00F5108B |. 8A11 |MOV DL,BYTE PTR DS:[ECX] 00F5108D |. 8855 F3 |MOV BYTE PTR SS:[EBP-D],DL 00F51090 |. 8B45 F4 |MOV EAX,DWORD PTR SS:[EBP-C] 00F51093 |. 83C0 01 |ADD EAX,1 00F51096 |. 33D2 |XOR EDX,EDX 00F51098 |. B9 03000000 |MOV ECX,3 00F5109D |. F7F1 |DIV ECX 00F5109F |. 85D2 |TEST EDX,EDX 00F510A1 |. 75 0D |JNZ SHORT 00F510B0 00F510A3 |. 0FB655 F3 |MOVZX EDX,BYTE PTR SS:[EBP-D] 00F510A7 |. 83FA 2D |CMP EDX,2D 00F510AA |. 74 04 |JE SHORT 00F510B0 00F510AC |. 32C0 |XOR AL,AL 00F510AE |. EB 58 |JMP SHORT 00F51108 00F510B0 |> 8B45 F4 |MOV EAX,DWORD PTR SS:[EBP-C] 00F510B3 |. 83C0 01 |ADD EAX,1 00F510B6 |. 33D2 |XOR EDX,EDX 00F510B8 |. B9 03000000 |MOV ECX,3 00F510BD |. F7F1 |DIV ECX 00F510BF |. 85D2 |TEST EDX,EDX 00F510C1 |. 74 3E |JE SHORT 00F51101 00F510C3 |. 0FB655 F3 |MOVZX EDX,BYTE PTR SS:[EBP-D] 00F510C7 |. 83FA 30 |CMP EDX,30 00F510CA |. 7C 09 |JL SHORT 00F510D5 00F510CC |. 0FB645 F3 |MOVZX EAX,BYTE PTR SS:[EBP-D] 00F510D0 |. 83F8 39 |CMP EAX,39 00F510D3 |. 7E 1B |JLE SHORT 00F510F0 00F510D5 |> 0FB64D F3 |MOVZX ECX,BYTE PTR SS:[EBP-D] 00F510D9 |. 83F9 41 |CMP ECX,41 00F510DC |. 7C 09 |JL SHORT 00F510E7 00F510DE |. 0FB655 F3 |MOVZX EDX,BYTE PTR SS:[EBP-D] 00F510E2 |. 83FA 46 |CMP EDX,46 00F510E5 |. 7E 09 |JLE SHORT 00F510F0 00F510E7 |> C745 E8 000000>|MOV DWORD PTR SS:[EBP-18],0 00F510EE |. EB 07 |JMP SHORT 00F510F7 00F510F0 |> C745 E8 010000>|MOV DWORD PTR SS:[EBP-18],1 00F510F7 |> 837D E8 00 |CMP DWORD PTR SS:[EBP-18],0 00F510FB |. 75 04 |JNZ SHORT 00F51101 00F510FD |. 32C0 |XOR AL,AL 00F510FF |. EB 07 |JMP SHORT 00F51108 00F51101 |>^E9 6AFFFFFF \JMP 00F51070 00F51106 |> B0 01 MOV AL,1 00F51108 |> 8BE5 MOV ESP,EBP 00F5110A |. 5D POP EBP 00F5110B \. C3 RETN Далее открываем AccountServer.exe в OllyDbg v1.10, переходим в модуль AccountServer.exe и ищем участок нулей в памяти приложения, который никогда не используется им во время исполнения - так называемый Code Cave. В AccountServer.exe из сборки Pirate King Online 1.38 (на его примере я рассмотрю процесс внедрения заплатки) Code Cave начинается с адреса 0x00452B8B. Скопируйте байты функции check_mac_address() и вставьте их в Code Cave. 55 8B EC 83 EC 18 B8 CC CC CC CC 89 45 E8 89 45 EC 89 45 F0 89 45 F4 89 45 F8 89 45 FC C7 45 FC 00 00 00 00 8B 45 08 89 45 F8 8B 4D F8 0F BE 11 89 55 EC 8B 45 F8 83 C0 01 89 45 F8 83 7D EC 00 74 18 8B 4D FC 83 C1 01 89 4D FC 83 7D FC 17 76 07 32 C0 E9 B0 00 00 00 EB D0 83 7D FC 17 74 07 32 C0 E9 A1 00 00 00 C7 45 F4 00 00 00 00 EB 09 8B 55 F4 83 C2 01 89 55 F4 8B 45 F4 3B 45 FC 0F 83 81 00 00 00 8B 4D 08 03 4D F4 8A 11 88 55 F3 8B 45 F4 83 C0 01 33 D2 B9 03 00 00 00 F7 F1 85 D2 75 0D 0F B6 55 F3 83 FA 2D 74 04 32 C0 EB 58 8B 45 F4 83 C0 01 33 D2 B9 03 00 00 00 F7 F1 85 D2 74 3E 0F B6 55 F3 83 FA 30 7C 09 0F B6 45 F3 83 F8 39 7E 1B 0F B6 4D F3 83 F9 41 7C 09 0F B6 55 F3 83 FA 46 7E 09 C7 45 E8 00 00 00 00 EB 07 C7 45 E8 01 00 00 00 83 7D E8 00 75 04 32 C0 EB 07 E9 6A FF FF FF B0 01 8B E5 5D C3 Запомните адрес, начиная с которого Вы вставили байты. Это будет адрес функции check_mac_address(). В моем случае это адрес 0x00452B90 (1). Задействуем внедренную функцию для проверки MAC-адресов. Найдите последовательность байт: 8B 8D C4 FC FF FF 89 81 9C 00 00 00 6A 00 8D 4D 08 Вы должны увидеть следующие инструкции: MOV ECX,DWORD PTR SS:[EBP-33C] MOV DWORD PTR DS:[ECX+9C],EAX PUSH 0 LEA ECX,DWORD PTR SS:[EBP+8] CALL 0041C410 PUSH EAX MOV ECX,DWORD PTR SS:[EBP-33C] ADD ECX,0A4 Инструкцию PUSH EAX (1) необходимо заменить на инструкцию безусловного перехода JMP <Адрес Code Cave> в Code Cave, например, после внедренной функции check_mac_address() (1). В моем случае это адрес 0x00452C9E. Также запомните адрес инструкции ADD ECX, 0A4 (2) - программа будет возвращаться сюда при успешной проверке MAC-адреса. В примере это адрес 0x00403EB3. Далее нужно найти адрес инструкций (1), на которые программа будет переходить при некорректном MAC-адресе. Найдите последовательность байт: 8B 85 C4 FC FF FF C6 40 14 00 C7 45 FC FF FF FF FF 8D 4D 08 В AccountServer.exe из серверных файлов Pirate King Online 1.38 они будут записаны по адресу 0x00403E4E (1). В результате мы получили 5 адресов: 1. Адрес функции check_mac_address() в Code Cave (0x00452B90); 2. Адрес инструкций проверки MAC-адреса в Code Cave (0x00452C9E); 3. Адрес перехода на инструкции проверки MAC-адреса в Code Cave из обработчика пакета аутентификации (0x00403EAC); 4. Адрес перехода из Code Cave на инструкции продолжения процесса обработки пакета аутентификации (0x00403EB3); 5. Адрес перехода из Code Cave на инструкции завершения процесса обработки пакета аутентификации (0x00403E4E); Осталось записать в Code Cave инструкции для проверки MAC-адреса и подставить в них требуемые адреса: PUSHAD PUSH EAX CALL <Адрес функции check_mac_address()> ADD ESP,4 TEST AL,AL JE SHORT <FAIL> POPAD PUSH EAX MOV ECX,DWORD PTR SS:[EBP-33C] JMP <Адрес перехода при успешной проверке MAC-адреса> <FAIL> POPAD JMP <Адрес перехода при неккоректном MAC-адресе> Сохраните проделанные изменения в файле AccountServer.exe. На этом внедрение заплатки и исправление уязвимости в AccountServer.exe завершено. Перейдем к процессу тестирования. Скачать исправленный AccountServer.exe из серверных файлов Pirate King Online 1.38 4. Проверка AccountServer.exe После того, как Вы внедрили заплатку в AccountServer.exe, необходимо убедиться что она работает, а уязвимость к внедрению вредоносного SQL-кода исчезла. Чтобы это проверить примените эксплойт к исправленному AccountServer.exe по инструкции, приведенной в разделе "Эксплойт". Вы должны увидеть сообщение: SQL INJECTION FAILED! YOUR ACCOUNTSERVER IS SECURED! Благодарю за внимание!

Обеспечение безопасности игрового сервера Автор: @Duduf В данном гайде мы рассмотрим основные проблемы, связанные с обеспечением безопасности нашего игрового сервера. Основными проблемами в работе игровых серверов являются: Несанкционированный доступ к учетной записи администратора ОС сервера SQL-инъекции через клиент игры SQL-инъекции через веб-обвязки игрового сервера Гайд состоит из следующих разделов: Выбор операционной системы для игрового сервера и базовые настройки его безопасности Обеспечение базовой безопасности SQL-сервера Защита баз данных SQL-сервера от SQL-инъекций Установка и базовые настройки веб-сервера Защита веб-обвязок от SQL-инъекций 1. Выбор операционной системы для игрового сервера и базовые настройки его безопасности В первую очередь, следует понимать, что игровой сервер должен являться отдельной машиной, предназначенной только для обеспечения работы этого самого игрового сервера. В качестве операционной системы необходимо использовать только серверные - Windows Server 2003, Windows Server 2008, никаких XP, Вист и семерок - эти системы априори не предназначены для функционирования в качестве серверов. Высшим пилотажем, в плане обеспечения безопасности, было бы разнесение служб игрового сервера по разным серверам - ПО игры, SQL-сервер, Веб-сервер, но в данном случае мы рассмотрим установку и настройку всего этого добра на одной машине. Почему именно серверная ОС В первую очередь, это повышенная отказоустойчивость, отсутствие ресурсоемких и небезопасных приложений, загружаемых "по умолчанию", полноценное логирование действий пользователей, полноценный трейс ошибок при крахе приложений, более полная, по сравнению с домашними ОС, защита системных файлов и директорий, а также более высокая производительность приложений. К базовым настройкам безопасности ОС относятся: Отключение учетной записи Администратор Установка антивируса с автоматическим обновлением Автоматическое обновление ОС Настройка удаленного доступа по протоколу RDP Установка межсетевого экрана (Брандмауэр, Файрволл) Автоматическое обновление ОС Настраивайте автоматическое обновление таким образом, чтобы обновления скачивались, но не устанавливались. Заведите привычку раз в неделю устанавливать эти самые обновления и после их установки перезагружать машину. Remote Desktop Сколь бы не велико было желание подключить монитор и клавиатуру к серверу, делайте это только в случае сбоя в работе RDP, т.е. если вы не можете подключиться к серверу удаленно. Для включения Remote Desktop откройте Панель управления > Система, выберите вкладку Удаленные сеансы и установите флажок Разрешить удаленное подключение к этому компьютеру. По умолчанию удаленное соединение разрешено только локальным администраторам. Учетную запись Администратор мы отключили, т.о. у нас остается только один локальный администратор. Теперь настроим сам сервер RDP Откройте Панель управления > Администрирование > Настройка служб терминалов. В дереве консоли выберите пункт Подключения. В области сведений щелкните правой кнопкой мыши подключение, которое нужно изменить, и выберите команду Свойства. На вкладке Общие, в разделе Уровень безопасности, выберите метод обеспечения безопасности Высокий. Рекомендую также ознакомиться со следующими ссылками по обеспечению безопасности RDP: http://technet.microsoft.com/ru-ru/library/cc781085(WS.10).aspx http://www.winblog.ru/win2003/1147766806-15021001.html Межсетевой экран Самый простой маршрутизатор, установленный между интернетом и вашим сервером во сто крат эффективнее и производительней любых программных файрволлов. Настройте маршрутизацию портов в своем роутере - 80 (для веб-сервера), 1973 (Gate Server), 3389 (RDP) и 1433 (SQL-сервер). Все пакеты от клиента приходят на порт GateServe'ra, поэтому нет необходимости открывать порты других служб игрового сервера. Ограничьте доступ по IP-адресам для порта 3389 (RDP) и 1433 (SQL-сервер). Желательно, чтобы доступ к этим портам был только из локальной сети. Если вы планируете администрировать сервер удаленно из Интернета и имеете статичный IP-адрес, то можете открыть порты 3389 и 1433 и для него. Добавьте перечисленные порты (80, 1973, 3389, 1433) в исключения в Брандмауэре Windows. В исключениях должны быть именно порты, а не приложения. Ничего другого в исключениях быть не должно. Если в вашем роутере есть возможность автоматической защиты от ARP и других атак, включите их. Если у вас нет роутера или аппаратного Файрволла, то ограничения на порты и службы необходимо установить в Брандмауэре Windows. Итогом наших мероприятий стало то, что даже если злоумышленник получит информацию о логине/пароле к SQL-серверу, воспользоваться им он не сможет, поскольку мы закрыли возможность удаленного подключения к игровому серверу с "неизвестных" машин. Работа игровых подсерверов Не запускайте игровые сервера из-под пользователя, обладающего административными правами. Создайте отдельного пользователя в группе Users (Пользователи), прав этой группы достаточно для работы игрового сервера. В противном случае, если злоумышленник получит доступ в игре к команде &lua, то он автоматически получит доступ к пользователю-администратору сервера, со всеми вытекающими. 2. Настройка SQL-сервера Итак, вы установили SQL-сервер, используя соответствующие гайды и присоединили базы данных игры. Запускаем SQL Server Management Studio. При авторизации выбираем проверку подлинности Windows. В обозревателе объектов открываем вкладку Безопасность > Имена входа, заходим в свойства пользователя sa и отключаем эту учетную запись. Для чего мы его отключаем? Пользователь sa по умолчанию имеет права суперпользователя на вашем SQL-сервере. Также права суперпользователя вы можете получить авторизовавшись на Windows-сервере под учетной записью администратора и авторизовавшись в SQL-сервере используя проверку подлинности Windows. Отключением пользователя sa мы оставляем единственную возможность авторизации в качестве суперпользователя - через Windows-аутентификацию. Теперь у вас не будет соблазна настраивать работу приложений из под пользователя sa (особенно с пустым паролем) Для работы игрового сервера и веб-сервера мы создадим отдельных пользователей, которые будут иметь ограниченные права. Вычищаем из БД дефолтные данные Многие сборки серверов поставляются с базами, в которых уже существуют всякие разные нехорошие записи. К таковым относятся пользователи и схемы самой БД, а также список аккаунтов с ГМ-правами. В данной ситуации лучше использовать базы, поставляемые со сборкой Base Server 2.0, там присутствует только один аккаунт с логином admin и паролем admin. Не забываем поменять хотя бы пароль... Добавляем отдельных пользователей для игрового сервера Нам необходимо создать трех пользователей для баз AccountServer и GameDB с ограниченным набором прав - одного для работы GameServer, второго для работы AccountServer, третьего для веб-обвязки. Откройте папку Безопасность > Имена входа и выберите в контекстном меню Создать имя входа. Создайте пользователя для работы игрового сервера (в моем случае это Gamemaster) Перейдите на страницу Роли сервера и выберите только public Перейдите на страницу Сопоставление пользователей и определите базы данных GameDB с правами db_datawriter, public. Схема по умолчанию - dbo. Данные права определяют, что пользователь может осуществлять выборку (SELECT), изменение (UPDATE), вставку (INSERT) и удаление (DELETE) записей в таблицах базы GameDB. Создайте пользователя под которым будет работать AccountServer (в моем случае это Accountmaster) по аналогии с пользователем Gamemaster. Задайте права на базу AccountServer как db_datawriter, public, на базу GameDB прав давать не надо. Создайте пользователя под которым будет работать веб-обвязка (в моем случае это Webmaster) по аналогии с пользователем Gamemaster. Задайте права на базу AccountServer как db_datawriter, public, а на базу GameDB как db_datareader, public. Не ставьте ни в коем случае прав db_owner или db_securityadmin, а также любую другую роль кроме public, эти права дадут доступ пользователю к системным функциям Базы данных, в т.ч. к ее остановке и уничтожению. 3. Защита объектов базы данных от несанкционированных изменений В первую очередь, следует понимать, что SQL-инъекции возможны в том случае если приложения, работающие с SQL-сервером в должной мере не обрабатывают приходящие от пользователей переменные. В случае если в качестве приложения выступает php-скрипт с открытым кодом, мы можем самостоятельно добавить обработку пользовательских переменных. В случае если в качестве приложения выступает скомпилированное приложение (в нашем случае GateServer, GameServer, GroupServer и AccountServer), возможности по модификации кода у нас отсутствуют. При таком раскладе нам остается контролировать данные другими средствами. Первое - это различные фильтры (FilterServer и др.) и модификации GateServer, второе - защита объектов базы средствами SQL-сервера. Ставим необходимые фильтры. Объекты базы защищаем следующим образом: Заходим в свойства пользователя Gamemaster в базе GameDB Переходим на страницу Защищаемые объекты и жмем кнопку Найти. Выбираем Определенные объекты и жмем ОК Нажимаем Типы объектов, выбираем Таблицы, жмем ОК. Затем Обзор и выбираем таблицу account и жмем ОК и еще раз ОК. Загрузится таблица прав. Напротив Изменение и Удаление отмечаем Запретить. Выберите разрешение Обновление, чтобы активировать кнопку Разрешения на доступ к столбцу. Жмем ее. В открывшемся окне отмечаем Запретить напротив столбца gm Ту же самую процедуру проделываем и для пользователя Webmaster Все, теперь гм-права можно выставить только из под учетной записи администратора, пользователи, из под которых работает веб-обвязка и игровой сервер этих прав не имеют. По аналогии вы можете запрещать доступ на изменение к столбцам и в других таблицах. Например, в character было бы неплохо запретить изменение столбца act_id. Теперь со спокойной душой можно защищать менее значимые объекты базы посредством триггеров и мониторинга базы игроков. Сами триггеры я писать не буду, опишу, что можно защищать: Стат-пойнты. Триггер должен при вставке/изменении записи проверять не выходит ли сумма статов за допустимые значения. Количество HP/SP Наличие невведенных/редких предметов в инвентарях игроков Наличие у игроков фей и экипировки со статами, выходящими за допустимыми значениями 4. Веб-сервер На форуме, как я заметил, существует любовь к различного рода NoName-сборкам Apache + PHP + MySQL + еще хрен знает чего (это я про всякие ксампы и денверы). Наличие доверия к ним крайне сомнительно ввиду, хотябы отсутствия документации к ним, особенно, это касается выставленных параметров "по умолчанию". Грамотным решением была бы установка всех компонент отдельно, скачанных и обновляемых с сайтов ПРОИЗВОДИТЕЛЕЙ (apache.org, php.net, mysql.com) либо использование промышленных сборок типа Zend.Server. Если вы устанавливаете MySQL, не забудьте задать пароль для root-пользователя (по умолчанию он пустой) и создать второго администратора. Не следует запускать приложения из-под пользователя root. Прежде чем устанавливать FTP-сервер, сто раз подумайте, нужен ли он вам, возможно, достаточно открыть доступ к нужным папкам в локальной сети. FTP - сам по себе крайне небезопасный протокол. Если установка FTP-сервера необходима, используйте лучше реализацию SFTP под Windows http://www.coreftp.com/server/ (в качестве клиента используйте WinSCP). 5. Веб-обвязки Ну, что тут говорить, большинство представленных на форуме веб-обвязок представляют собой "жалкое зрелище, душераздирающее зрелище": Принудительное подавление вывода ошибок без должной их обработки (error_reporting(0), ini_set('display_errors',0), волшебный символ @ и пр.) Использование "псевдоконструкторов" классов, которые с версии php 5.3.3 уже не поддерживаются Использование библиотеки ereg, которая не модернизировалась с 4-й версии PHP и в 6-й версии будет вырезана Использование морально устаревшей библиотеки mssql Но это еще цветочки по сравнению с отсутствием типизации данных и недолжной обработкой входящих переменных (что может привести к SQL-инъекциям и XSS-атакам). Я не буду вдаваться в экскурс, как писать безопасные приложения, рекомендую использовать только проверенные скрипты, не пихать на рабочий сайт "новинки" пока не появятся отзывы об их использовании и аудите, каким бы шикарным не был их функционал. При появлении новых версий, обязательно обновляйте их. Примеры инъекций в существующих обвязках Рассмотрю один пример уязвимостей в веб-обвязке (регистрации), но, увы, некоторые другие регистрации и обвязки, представленные на этом сайте, имеют уязвимости. Итак, рега Уязвимый код Строка 21 if ((eregi("[^a-z0-9_-]", $login)) || (eregi("[^a-z0-9_-]", $pass)) ) { eregi - устаревшее расширение, имеющее нульбайтовую уязвимость Строки 36-37 $email = $_POST['email']; do_query("INSERT INTO account_login (name,password,originalPassword,email) VALUES ('$login','$encr_pass','$pass', '$email')","AccountServer"); Переменная email не обрабатывается никак вообще

Защита GM команд Привет! Предположим, Ваш сервер был взломан и злоумышленник получил доступ к GM-аккаунту. В данной статье я расскажу как обезопасить Ваш сервер от его действий, то есть сделать взлом бессмысленным. Внимание! Особое внимание уделите командам &lua и &lua_all. С их помощью злоумышленник может получить контроль над машиной, где запущен GameServer.exe, со всеми вытекающими из этого последствиями: кража Вашей сборки либо её удаление, вайп базы данных, потеря доступа к машине и так далее. Обсуждение этих команд проходит в данной теме: Все прелести команды &lua. Для обеспечения безопасности Вашего сервера, не используйте имена из примеров данной статьи на своем сервере! Способ №1. Нет GM-команд - нет проблем! Если Вы редко или вообще не пользуетесь GM-командами, то имеет смысл их отключить. Редактировать персонажей и выдавать предметы можно с помощью специальных программ или вручную в базе данных, когда персонаж не в игре. Чтобы отключить GM-команды нужно внести изменения в GameServer.exe. Версия | Размер (КБ) | Адрес --------+-------------+------------ 1.36 | 2 040 | 0x000DE1E8 1.38 | 2 088 | 0x000E6852 2.0 | 3 000 | 0x00161349 Откройте GameServer.exe в любом HEX редакторе и перейдите по адресу из таблицы. Я буду работать с 1.38 GameServer.exe в редакторе HxD. Замените 23 байта начиная с этого адреса на 0x90 Сохраните проделанные изменения и убедитесь, что в игре не работают GM-команды. Способ №2. Переименовывание GM-команд. Злоумышленник не сможет воспользоваться GM-командами, если он не будет знать их названия. Итак, Вам придется переименовать каждую команду. Чтобы изменить название GM-команды, откройте GameServer.exe в любом HEX-редакторе. Затем найдите GM-команду и измените ее название. Длина нового названия должна быть такой же, как и длина старого. Для примера, переименуем команду &make в команду &give. Обратите внимание, что длины строк "make" и "give" равны (по 4 символа). Открываем GameServer.exe в HEX-редакторе и ищем строку "make": Вам будут попадаться строки, которые содержат в себе подстроку "make" (например, "MakeItem", "make failed!", "GMmakeLog" и др.). Игнорируйте их и продолжайте поиск. Когда Вы найдете нужную строку, Вы увидите рядом названия других GM-команд: Заменяем на "give": Сохраните проделанные изменения. Повторите данные действия для каждой GM-команды. Список адресов GM-команд GameServer.exe версии 1.36 (2 040 КБ): GameServer.exe версии 1.38 (2 088 КБ): GameServer.exe версии 2.4 (3 000 КБ): Способ N3. GameServer.exe с функциями HandleChat(), GetGmLv() и SetGmLv() Для реализации данного способа Вам потребуется модифицированный GameServer.exe с функциями HandleChat(), GetGmLv() и SetGmLv(). Функция HandleChat(userdata role, string message) срабатывает, когда игрок пишет сообщение в местный чат. Так как GM-команды отправляются также в местный чат, Вы можете написать скрипт, который будет контролировать выполнение команд. Например, Вы можете сделать так, чтобы GM-команды срабатывали только при условии, что их отправляет персонаж с определенным именем или ID. Плюс ко всему, можно сделать чтобы этот персонаж должен еще состоять в определенной гильдии, в которую входят только администраторы и GM Вашего сервера. Все зависит от Вашей фантазии. Чтобы узнать, что персонаж является GM, используйте функцию GetGmLv(userdata role). С помощью функции SetGmLv(userdata role, number level) можно изменять GM-уровень аккаунта, к которому прикреплен персонаж. Например, в той же функции HandleChat() можно сбрасывать GM-уровень аккаунта в 0, если персонаж не прошел проверку. Реализуем простую систему контроля GM-команд: 1) GM-команды могут выполнять только персонажи с именами: "V3ct0r", "pkodev" и "Administrator"; 2) В случае, если персонаж GM и он не прошел проверку, сбросить GM-уровень до 0, кикнуть персонажа с сервера и отправить сообщение администратору в консоль GameServer.exe. Для начала создадим в файле variable.lua массив с именами персонажей, которые могут использовать GM-команды. Назовем его PlayerCanUseCmd: PlayerCanUseCmd = {} PlayerCanUseCmd["V3ct0r"] = 1 PlayerCanUseCmd["pkodev"] = 1 PlayerCanUseCmd["Administrator"] = 1 Затем напишем скрипт для функции HandleChat() в файле functions.lua: -- Обработчик местного чата function HandleChat(role, message) -- Проверяем что персонаж GM if (GetGmLv(role) > 0) then -- Проверяем что персонаж отправил GM-команду if (string.find(message, "&") == 1) then -- Проверяем имя персонажа local cha_name = GetChaDefaultName(role) if (PlayerCanUseCmd[cha_name] ~= nil) then -- Персонаж может использовать GM-команду return 1 end -- Персонаж не может использовать GM-команду -- Сбрасываем GM-уровень до 0 SetGmLv(role, 0) -- Кикаем персонажа с сервера KickCha(role) -- Пишем сообщение администратору в консоль сервера print("Player [" .. cha_name .."] trying to use GM command!") -- Запрещаем выполнение GM-команды return 0 end end return 1 end Для кика персонажей нам понадобится функция KickCha(), добавьте ее также в functions.lua: function KickCha(character) local pkt = GetPacket() WriteCmd(pkt, 1505) SendPacket(character,pkt) end Тема открыта для обсуждения. Пишите свои вопросы и идеи в комментариях!