Shaiya Online Temel Sunucu Güvenliği
Merhaba değerli forum üyeleri bu konuda sizlere shaiya'da temel sunucu güvenliği nasıl olmalı hakkında önemli bilgiler vereceğim.
İlk olarak sunucular, Sunucularımızı seçerken ram miktarı cpu miktarı gibi özelliklerin iyi olması bildiğiniz sizin ve oyuncularınız açısından her zaman bir artı olacaktır, En önemli husus sunucu firmanızın sağlam ddos koruması olmasına dikkat etmeniz.
Sunucu özelliklerinin yüksek olmasının olası saldırı durumlarında farkını ortaya koyacağına emin olabilirsiniz, Çok düşük sunucu özelliklerinde bulunan sunuculara yapılan saldırılar sunucunun işlem gücünü aşıp resetleme vb sorunlara buda oyuncularınıza karşı mahçup olmanıza sebebiyet verecektir.
2.husus olarak sunucu alımlarında mümkünse 2 adet sunucunuzun bulunması size ayrı bir artı sağlayacaktır, Neden diye soracak olursanız 1.sunucumuzu ana sunucu yani serverimizin bulunduğu yer 2.sunucumuzu ise web sunucu olarak ayarlayabilmemiz için. Web sunucusu için VDS şart değil diyebilirsiniz ancak bir hosting ne kadar güçlü olursa olsun bir VDS sunucunun yerini asla tutmaz.
Her ne kadar eski geliştiricilerin eski windows işletim sistemlerini kullanın onlar daha az işlem gücü ve stabilite sağlıyor desede bu yalnış bir düşünce yapısıdır, Her zaman güncel olan windows server işletim sistemi ve mysql programlarını kullanın, Yeni bir sürümün çıkması demek eski sürümdeki hata, güvenlik açıkları ve problemlerin kapatılıp yerine yeni ve stabil olan güncelleme getirilmiş olması demektir, Güncel olanı kullanıp güvenlik zaafiyetlerin oluşmasına engel olun.
Temel oyun sunucusu koruması
Güvenlik Duvarı
Şimdi, düzgün güvenlik duvarı kurallarının nasıl kurulacağını göreceğiz.
Güvenlik duvarım böyle görünüyor (yakınlaştırma yapın ve bu 3 kurallara bakın) Şimdi Yaptığım 3 kuralı görelim.
İlki "Oturum Açma ve Oyun Sunucusu" 30800 ve 30810 bağlantı noktasını (yalnızca TCP) olarak açın, diğer shaiya bağlantı noktaları KAPATILMALIDIR, aksi takdirde saldırganların sunucunuzu uzaktan kapatmasına izin verirsiniz.
İkincisi "RDP && SSH" bu port adresi sunucunuza erişmek için Windows RDP'yi kullanmanıza izin verecektir, Bu port ile "uzak adres" i kendi ev adresinize göre ayarlayın. Neden mi ? Çünkü eğer birisi şifrenizi bilirse, uzak bağlantı sağlayamaz ve sunucunuza bağlanamaz. Not: Özel RDP bağlantı noktası kullanıyorum, benimki 15000, ancak isterseniz değiştirin. varsayılan olan 3389 numaralı TCP bağlantı noktasıdır.
En son port SQL Server içindir. 2 VPS'niz varsa web sunucu adresinize "uzak adresinizi" yazın, Web sunucunuzu ve sql sunucunuzu aynı VPS üzerinde çalıştırıyorsanız bu portu silin.
SQL Enjeksiyonları
Pek çok shaiya kayıt paneli kodlaması GET veya POST sistemli bir kayıt paneli kullanıyor. Akabinde bu paneller ile açıklar meydana geliyor. Sorun şu ki, PHP - PDO bağlantı işlevlerini kayıt panelinizde kullanmıyorsanız, herhangi bir saldırgan veritabanlarınızı silebilir.
Ne yapmamız gerekiyor ?
Kayıt formunuzu PDO olacak şekilde yeniden kodlamanız gerekiyor, Bilmiyorsanız bilen kişilerden mutlaka yardım almanız gerekiyor.
PDO Nedir ?
PHP Veri Nesneleri (PDO), çeşitli veritabanlarına erişim için oldukça hafif ve tutarlı bir arayüz sunan bir PHP programlama dili eklentisidir. PDO arayüzü bulunan veritabanı sürücüleri yardımıyla, veritabanına özgü işlevler genel PHP eklenti işlevleri olarak çalıştırabilirler.
Kısaca PHP kodlamalarında veritabanına daha güvenli bir şekilde bağlanmanıza yarayan PHP'nin geliştirilmiş versiyonudur.
Admin Panelleri
Admin panelleri her ne kadar işlemlerimizi hızlandırmış olsalarda en ufak bir yalnış kodlama ile saldırganların sunucunuzu mahfetmesine yol açabilir, O bakımdan admin panellerini elimizden geldiğince kullanmamaya yada kullanacaksakta kullanıp o an hemen web sunucusundan çalışmayacak bir şekilde çıkarmamız gerekiyor. Bu konuya dikkat...
İsim Hilesi
Oyun içerisinde kendisine [ADM] [GM] [GS] vb Gibi çeşitli Taglar vererek kendisini yetkili bir kişiymiş gibi tanıtıp bütün oyuncuları kandırabilirler. Bu sorunu halletmek için Linkleri görebilmek için Üye Olun veya Giriş Yapın. tıklayın.
Admin Hesabı Açma Açığı
Bazı sunucularda sadece oyun içi sohbet işlevini kullanarak GM olmanıza izin veren bir sohbet açığı vardır, Ve bu açığı bilen kişiler çok basit bir şekilde normal oyuncu hesabını yönetici hesabına çevirip sunucunuzu mahfedebilir.
Nasıl Yapılır ?
1. game.exe'yi çalıştırın
2. oturum açın oyuna girin.
3. normal sohbette "0777addgm" yazın
4. oyundan% 100 çıkın ve tekrar giriş yapın
Hesabınızın normal oyuncu hesabından yönetici hesabına geçiş yaptığını göreceksiniz.
Bu can sıkıcı durumdan kurtulmak için Linkleri görebilmek için Üye Olun veya Giriş Yapın. tıklayıp işlemleri gerçekleştirin.
PS_LOGIN Açığı
Bir çok server dosyasındaki PS_LOGIN üzerinde ufak bir SQL açığı bulunur, Bu açık sayesinde saldırganlar bir şekilde bağlanıp veritabanınızda bulunan User_Master yani kullanıcı hesaplarının bulunduğu tabloyu komple silebilir.
Bu durumu yaşamak istemiyorsanız bu dosyayı değiştirmeniz gerekiyor.
Dosyayı Linkleri görebilmek için Üye Olun veya Giriş Yapın. tıklayıp indirin ve sunucu dosyalarına atarak değiştirin.
Şimdilik bu kadar vakit buldukça konuyu güncelleyeceğim. Kolay gelsin
Merhaba değerli forum üyeleri bu konuda sizlere shaiya'da temel sunucu güvenliği nasıl olmalı hakkında önemli bilgiler vereceğim.
İlk olarak sunucular, Sunucularımızı seçerken ram miktarı cpu miktarı gibi özelliklerin iyi olması bildiğiniz sizin ve oyuncularınız açısından her zaman bir artı olacaktır, En önemli husus sunucu firmanızın sağlam ddos koruması olmasına dikkat etmeniz.
Sunucu özelliklerinin yüksek olmasının olası saldırı durumlarında farkını ortaya koyacağına emin olabilirsiniz, Çok düşük sunucu özelliklerinde bulunan sunuculara yapılan saldırılar sunucunun işlem gücünü aşıp resetleme vb sorunlara buda oyuncularınıza karşı mahçup olmanıza sebebiyet verecektir.
2.husus olarak sunucu alımlarında mümkünse 2 adet sunucunuzun bulunması size ayrı bir artı sağlayacaktır, Neden diye soracak olursanız 1.sunucumuzu ana sunucu yani serverimizin bulunduğu yer 2.sunucumuzu ise web sunucu olarak ayarlayabilmemiz için. Web sunucusu için VDS şart değil diyebilirsiniz ancak bir hosting ne kadar güçlü olursa olsun bir VDS sunucunun yerini asla tutmaz.
Her ne kadar eski geliştiricilerin eski windows işletim sistemlerini kullanın onlar daha az işlem gücü ve stabilite sağlıyor desede bu yalnış bir düşünce yapısıdır, Her zaman güncel olan windows server işletim sistemi ve mysql programlarını kullanın, Yeni bir sürümün çıkması demek eski sürümdeki hata, güvenlik açıkları ve problemlerin kapatılıp yerine yeni ve stabil olan güncelleme getirilmiş olması demektir, Güncel olanı kullanıp güvenlik zaafiyetlerin oluşmasına engel olun.
Temel oyun sunucusu koruması
Güvenlik Duvarı
Şimdi, düzgün güvenlik duvarı kurallarının nasıl kurulacağını göreceğiz.
Güvenlik duvarım böyle görünüyor (yakınlaştırma yapın ve bu 3 kurallara bakın) Şimdi Yaptığım 3 kuralı görelim.
İlki "Oturum Açma ve Oyun Sunucusu" 30800 ve 30810 bağlantı noktasını (yalnızca TCP) olarak açın, diğer shaiya bağlantı noktaları KAPATILMALIDIR, aksi takdirde saldırganların sunucunuzu uzaktan kapatmasına izin verirsiniz.
İkincisi "RDP && SSH" bu port adresi sunucunuza erişmek için Windows RDP'yi kullanmanıza izin verecektir, Bu port ile "uzak adres" i kendi ev adresinize göre ayarlayın. Neden mi ? Çünkü eğer birisi şifrenizi bilirse, uzak bağlantı sağlayamaz ve sunucunuza bağlanamaz. Not: Özel RDP bağlantı noktası kullanıyorum, benimki 15000, ancak isterseniz değiştirin. varsayılan olan 3389 numaralı TCP bağlantı noktasıdır.
En son port SQL Server içindir. 2 VPS'niz varsa web sunucu adresinize "uzak adresinizi" yazın, Web sunucunuzu ve sql sunucunuzu aynı VPS üzerinde çalıştırıyorsanız bu portu silin.
SQL Enjeksiyonları
Pek çok shaiya kayıt paneli kodlaması GET veya POST sistemli bir kayıt paneli kullanıyor. Akabinde bu paneller ile açıklar meydana geliyor. Sorun şu ki, PHP - PDO bağlantı işlevlerini kayıt panelinizde kullanmıyorsanız, herhangi bir saldırgan veritabanlarınızı silebilir.
Ne yapmamız gerekiyor ?
Kayıt formunuzu PDO olacak şekilde yeniden kodlamanız gerekiyor, Bilmiyorsanız bilen kişilerden mutlaka yardım almanız gerekiyor.
PDO Nedir ?
PHP Veri Nesneleri (PDO), çeşitli veritabanlarına erişim için oldukça hafif ve tutarlı bir arayüz sunan bir PHP programlama dili eklentisidir. PDO arayüzü bulunan veritabanı sürücüleri yardımıyla, veritabanına özgü işlevler genel PHP eklenti işlevleri olarak çalıştırabilirler.
Kısaca PHP kodlamalarında veritabanına daha güvenli bir şekilde bağlanmanıza yarayan PHP'nin geliştirilmiş versiyonudur.
Admin Panelleri
Admin panelleri her ne kadar işlemlerimizi hızlandırmış olsalarda en ufak bir yalnış kodlama ile saldırganların sunucunuzu mahfetmesine yol açabilir, O bakımdan admin panellerini elimizden geldiğince kullanmamaya yada kullanacaksakta kullanıp o an hemen web sunucusundan çalışmayacak bir şekilde çıkarmamız gerekiyor. Bu konuya dikkat...
İsim Hilesi
Oyun içerisinde kendisine [ADM] [GM] [GS] vb Gibi çeşitli Taglar vererek kendisini yetkili bir kişiymiş gibi tanıtıp bütün oyuncuları kandırabilirler. Bu sorunu halletmek için Linkleri görebilmek için Üye Olun veya Giriş Yapın. tıklayın.
Admin Hesabı Açma Açığı
Bazı sunucularda sadece oyun içi sohbet işlevini kullanarak GM olmanıza izin veren bir sohbet açığı vardır, Ve bu açığı bilen kişiler çok basit bir şekilde normal oyuncu hesabını yönetici hesabına çevirip sunucunuzu mahfedebilir.
Nasıl Yapılır ?
1. game.exe'yi çalıştırın
2. oturum açın oyuna girin.
3. normal sohbette "0777addgm" yazın
4. oyundan% 100 çıkın ve tekrar giriş yapın
Hesabınızın normal oyuncu hesabından yönetici hesabına geçiş yaptığını göreceksiniz.
Bu can sıkıcı durumdan kurtulmak için Linkleri görebilmek için Üye Olun veya Giriş Yapın. tıklayıp işlemleri gerçekleştirin.
PS_LOGIN Açığı
Bir çok server dosyasındaki PS_LOGIN üzerinde ufak bir SQL açığı bulunur, Bu açık sayesinde saldırganlar bir şekilde bağlanıp veritabanınızda bulunan User_Master yani kullanıcı hesaplarının bulunduğu tabloyu komple silebilir.
Bu durumu yaşamak istemiyorsanız bu dosyayı değiştirmeniz gerekiyor.
Dosyayı Linkleri görebilmek için Üye Olun veya Giriş Yapın. tıklayıp indirin ve sunucu dosyalarına atarak değiştirin.
Şimdilik bu kadar vakit buldukça konuyu güncelleyeceğim. Kolay gelsin
