[Tutorial] Cum sa nu "oferim" contul nostru altcuiva.

Skin-uri, harţi, UI, HUD, tutoriale, tips & tricks, etc

Moderator: Moderators

Post Reply
User avatar
vim
Mini tehnicus
Posts: 2017
Joined: 22 Nov 2007, 20:05
Location: EvoSys HQ

[Tutorial] Cum sa nu "oferim" contul nostru altcuiva.

Post by vim » 19 Jul 2009, 14:15

In urma studierii logurilor, am observat un nou fenomen. Multe incercari de autentificare, cu parole la nimereala pentru cativa dintre admini. IP-urile de la care se incerca autentificarea pe respectivele conturi de admini, nu apareau nicaieri ca apartinand adminilor respectivi, asa ca putem trage concluzia ca se incerca autentificare pe un cont de admin, de alta persoana decat adminul in cauza.

Cum ne putem proteja, pentru a nu pierde contul ?
  1. Nu folositi aceeasi parola ca la alte conturi (n.r adresa de email, Hi5, facebook, etc)
  2. Incercati sa folositi o parola care nu poate fi ghicita usor ( de exemplu folosirea unei parole ce consta in nick-ul pe care aveti admin sau un numele vostru real, nu este o idee prea buna)
  3. De ceva vreme a fost descoperit un nou exploit pe partea de client la Counter-Strike, care exista de la versiunile vechi de pe protocol 47, pana la versiune cu update-urile la zi, de pe steam original. Prin intermediul acestui exploit, oricine va poate afla parola pe server-ul "x", in momentul in care sunteti conectat pe serverul "y".
    Pentru a va proteja de o asemenea metoda de furt, inainte de a iesi de pe server, cu scopul de a juca pe alt server, folositi comanda "admin_logout" pentru a va reseta toate setarile ce au legatura cu evosys. (Aplicabil pentru oricine are un cont pe server. Incepand cu "Nume Rezervat" si terminand cu "Owner")
Contul mi-a fost furat, parola mi-a fost schimbata, ce pot face acum ?
  1. Primul pas este acela de a incerca sa va recuperati parola, folosind acesta pagina. (Datele de autentificare vor fi trimise pe adresa de email, pe care ati furnizat`o la inregistrare sau la creearea contului de catre un owner, in cazul administratorilor.)
  2. Daca varianta de mai sus nu a dat roade, puteti lua legatura cu un Owner.
Note:
  1. In urmatoarea versiune a lui Geronimo, vor fi implementate o serie de noi optiuni pentru o mai buna securitate a conturilor. Dintre acestea amintim:
    1. Blocarea accesului pe un cont, pe un singur IP.
      Activand aceasta optiune, accesarea contului se va poate face numai de la IP-ul folosit in momentul activarii optiunii. (Nerecomandat pentru cei cu IP-uri dinamice.)
    2. Folosirea hash-urilor MD5 pentru parole.
    3. Implementarea unui session ID unic si pe server.

Daca mai aveti de facut completari cu privire la acest subiect, puteti posta aici.

Code: Select all

[root@gw-03 ~]# man woman
Segmentation Fault (core dumped)
CS 1.6: cs.evosys.ro
Post Reply