Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек
24-апр
10-апр
11-апр

> Важная информация

Перед тем как создать тему или задать вопрос, ознакомьтесь с данной темой, там собраны наиболее распространенные уязвимости и способы устранения.
Так же не поленитесь воспользоваться поиском, вполне возможно, что ваш вопрос уже поднимался на форуме.
При создании новой темы уделите внимание ее названию, оно должно кратко описывать суть вашего вопроса/проблемы. Все вновь созданные темы с названиями "Помогите", "Объясните", "Подскажите" и т.д. будут удалены, а их авторы наказаны.
45 страниц V   1 2 ... 43 44 »

Обход бана подменой SteamID

, Оптимальное решение против 'глобальной угрозы'
Safety1st
сообщение 23.12.2013, 21:24
Сообщение #1
Стаж: 12 лет
Город: Moscow

Сообщений: 7228
Благодарностей: 8071
Полезность: 196

Инфа несколько устарела. Планируется обновление топика.

Прежнее содержимое
Недавно один идиот скинул в паблик новый подменяльщик SteamID, другие - стали им успешно пользоваться. Подменяльщик встраивается в игру и позволяет менять ID 'на лету' (но не во время нахождения на сервере, конечно).

Проблема обходов бана подменой SteamID набирает актуальность.

Тема для продвинутых владельцев серверов, которые знают, что разумно послушать умных людей и подготовиться к худшему заранее. Остальные прибегут, как только их коснётся. Инфа 100%. А бардак не за горами.


Внимание! Защита ограниченного числа аккаунтов относится уже к тематике этой темы.

i
Уведомление:
В шапку вынесены ссылки на ключевые посты до 35-й страницы включительно. Дальше пока нужно читать самим ;)

Фиксы: невозможны
Мы имеем принципиально иную проблему, которую просто так - фиксом - не закрыть: смена ID 'на лету'
.
Некоторые посты: 1, 2, 3, 4, 5, 6, 7, 8.
Скрытый текст
нубская, но пока рабочая защита - с помощью детектора алиасов (AC). Идея проста: плагин выполняет команды на клиенте. Если команда клиенту незнакома - она придёт обратно на сервер, игрок чист. Если у клиента стоит подменяльщик - команда клиенту знакома, он её обработает и на сервер 'отстука' не будет, баним по IP на время. Детальная инструкция по настройке. Подменяльщик упакован UPX'ом, школоте команды не поменять. Как и ожидалось, 16.01 была выпущена куда более продвинутая версия и 'защита' 'методом алиасов' больше не работает.
это не реализовано, только принцип: защита с помощью детектора файлов (например, OD). Подменяльщик упакован UPX'ом, школоте имя dll-файла в коде asi-файла не поменять. Также неактуально: версия от 16.01 позволяет называть файлы любым именем, лишь бы оно совпадало у всех файлов.

Оптимальное решение 'глобальной угрозы': предложено
стимизация: переход на Steam. Чтобы ID не зависел от клиента, он должен выдаваться независимо от клиента, а не генерироваться. Для этого нужна внешняя система, в паблике это Steam. Полный переход сервера на Steam решит проблемы с обходом банов и воровством привилегий, но сложностей на этом пути хватает.
Поддерживают Crock, SISA, RedL1ne, gudaus, Legenda, S0m3Th1nG_AwFul!, я.
+ плагин, позволяющий игрокам с пираткой поиграть и оценить сервер, а затем продвинуть идею покупки Steam;
+ модуль для игры с полюбившейся пиратки при наличии аккаунта;
+ по желанию 'заманивающий' сервер с dproto (идеи Bloo и Lev).
Посты по теме: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10.
Успех сильно определяется массовостью поддержки. Более подробная инфа пока не готова.

Другие предложения
• новый защищённый эмулятор + новый dproto с поддержкой только его и Steam. Собирается реализовать Асмодай. Через полгода, гарантий нет. 1, 2, 3, 4, 5, 6, 7, 8, 9.
• UCP. Посты по теме: 1, 2, 3, 4.
авторизация через ВК. Идея mazdan. Используется факт, что каждый аккаунт ВК требует уникальной привязки номера телефона, т.е. обход сопряжён с большими неудобствами. Не подходит: аккаунты легко перепривязываются. Посты по теме: 1, 2, 3.

Опрос community 22-26 января

Другие меры:
железный вариант - запрет бОльшей части эмуляторов для 'проблемных' 'подсетей' с помощью плагина SubnetBan от Lev. Подмена одинаково хорошо работает на любых эмуляторах, но клиент с фейковым SteamID всегда использует тип авторизации RevEmu. Эмуляторы до RevEmu ещё уязвимее. Поэтому вход на сервер с 'проблемных' 'подсетей' разрешаем только стимовцам и эмуляторам SC2009 и RevEmu 2013: sb_def_allowed_clients "bgj". Не забываем, что также нужно иметь 'разрешённый' клиент на SC2009 или RevEmu 2013, ссылку на который вы дадите при кике.
Это неплохое решение проблемы намеренного бана других игроков со стороны решивших напакостить школьников. Недостатки очевидны. Достоинства: всё уже сделано, всё работает, можно использовать. Но плагин под силу настроить не каждому. О школьниках на хостингах должны позаботиться хостеры, они за это деньги получают (знающие люди держут сервера на VDS: это дешевле и полная свобода действий). Показываете им проблему, показываете плагин, показываете требование 'возраст пользователя 18+ или наличие технического образования', просите помочь с плагином.
это не реализовано, только принцип: 'система регистрации' для игроков. Помимо SteamID используется ещё какая-то привязка. Различных идей хватает. Не путаем с комбинациями 'steamid+pass' и т.п. (тот же users.ini) - этого для удобства мало, это нужно делать вручную, это неудобно.
Различные идеи
SISA: Есть идея с мини-регистрацией и уникальным параметром в сетинфо игрока. Делаем на сайте форму регистрации, где надо указать STEAM ID и почтовый ящик. После чего на почту высылается пароль. Его дописываем в сетинфо в определенный параметр. При входе на сервер STEAM ID сравнивается со значением этого параметра. Если не совпало, то выкидывает.
<>: <>

i
Уведомление:
Tема создана для привлечения внимания community к проблеме, нужных людей и идей. Все 'секретные' темы, кроме стимизации, будут обсуждаться за пределами топика в привате, просьба отнестись с пониманием. Меня и так ругают, что лишнее говорю)

Тема не во Флейме. Все ценные мысли буду добавлять в шапку. Весь мусор потеряется в топике. Просьба не вступать в дискуссии с днищами и ололо. Оффтоп, флуд и негатив будут удаляться. С жалобами на несправедливо удалённые посты обращаться сюда.


Цитата
Я не разбираюсь, но может можно узнать через мету серийный номер материнской платы/биоса и банить по серийнику и steam одновременно?

Это фантастика. Для этого должно быть ПО на клиенте.
Есть кое-какие идеи у умельцев, но эта инфа не для паблика и эти попытки по определению легко блокируются. Т.е. они работают, пока их алгоритм неизвестен. Это 'путь' супербанов, мегабанов и прочей дребедени.

Цитата
можно и на стим серверах безобразничать, ставя себе любой STEAM ID?

Безобразничать минутку-другую - пока можно. Заявлениями 'steamid стало возможно подменять и на лицензионных клиентах игры ... вскоре сами все увидите' только хомячков пугать. Когда придёт время, недоработка Steam будет легко закрыта VALVe.

Цитата
я правильно понял что теперь нонстим может получить стимид? и играть на стим серверах? и тд?

Правильнее - взять 'попользоваться': для авторизации на сервере используется реальный SteamID. Со своим акком - да, можно играть, если комп позволяет держать запущенными одновременно обе игры. Но при бане акка и пиратка теряет доступ. Собственно, аналогичная возможность с давних времён есть и у Cracked Steam (AVSMP в dproto). С чужим - игрой это не назовёшь, только побезобразничать. Защита админок обсуждается тут.


Благодарности
• Эти люди очень помогли: Crock, Lev, SISA, RedL1ne.
Кого забыл - добавлю.


P.S. В топике не идёт речь об обходах бана игроками с клиентов STEAM_ID_LAN. Эти давным-давно спокойно решаются плагином UCH, настройкой dproto, плагином updatehint из комплекта dproto или тем же SubnetBan.

Советую также ознакомиться с темой 'Взлом админки подменой SteamID'.


Отредактировал: Developer, - 2.5.2014, 19:08
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 22 раз
   Цитировать сообщение
Статус пользователя Alexan23
сообщение 23.12.2013, 21:28
Сообщение #2


Стаж: 12 лет
Город: Рязань

Сообщений: 1404
Благодарностей: 624
Полезность: 803

хмм а разве аллиас от s7kam не помогает?


Себе поставил,так в бан улетело парочка игроков.

ac_add_alias 1 steam_set_id


Или же есть более свежая фича,которая не палится?))

Отредактировал: Alexan23, - 23.12.2013, 21:29


Антискука xD [WoRlD] ® 2010-2017
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 3 раз
   + Цитировать сообщение
Статус пользователя ex3m777
сообщение 23.12.2013, 21:33
Сообщение #3


Стаж: 11 лет
Город: Москва

Сообщений: 2037
Благодарностей: 1135
Полезность: 968

Меценат Меценат

Скрытый текст
Цитата
Кто не может настроить этот плагин - в топку ваши сервера @ Safety1st


Отредактировал: grishka444, - 23.12.2013, 21:37


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя perfectblood0
сообщение 23.12.2013, 21:34
Сообщение #4
Стаж: 15 лет

Сообщений: 5065
Благодарностей: 2685
Полезность: 488

Цитата(Alexan23 @ 23.12.2013, 23:28) *
хмм а разве аллиас от s7kam не помогает?


Себе поставил,так в бан улетело парочка игроков.

ac_add_alias 1 steam_set_id


Или же есть более свежая фича,которая не палится?))

Есть.
p.s
Можно и без плагина обойтись и ручками банить подсеть.
не вижу проблемы

Отредактировал: perfectblood0, - 23.12.2013, 21:35
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Safety1st
сообщение 23.12.2013, 21:39
Сообщение #5
Стаж: 12 лет
Город: Moscow

Сообщений: 7228
Благодарностей: 8071
Полезность: 196

Все сосредоточились на моём варианте)
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя gudaus
сообщение 23.12.2013, 21:44
Сообщение #6


Стаж: 12 лет

Сообщений: 1571
Благодарностей: 1211
Полезность: 741

У меня когда-то стоял SubNetBan. Это не решение. Из-за одного читера банить толпу?
А если читер из Белоруссии с ихним провайдером byfly, то ради одного человека придётся банить пол-страны.
Можно пойти другим путём - создать атмосферу, невыносимую для читера. Это валлхак блокер(sign,sbg. Кому sbg надо - могу дать) + soundblocker+ детектор аима + детектор спидхака + алиас чекер(защита от тупых) + Rock2ban(или аналог. Их ещё 2 есть, весьма похожих). Всё, что читеру останется - NoSpread.
Я пытался, но майарена не тянет блокер от сигна) А sbg на ряде карт глючный.
И пусть он подменяет сколько ему влезет, всё равно если полноценно читерить не сможет - сам свалит.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя perfectblood0
сообщение 23.12.2013, 21:52
Сообщение #7
Стаж: 15 лет

Сообщений: 5065
Благодарностей: 2685
Полезность: 488

Если человек меняет ip сразу после бана?
Считай он будет отправляться в бан постоянно, так и вся подсеть и улетит=)
А блокеры фигня, с ними тоже можно играть и намного удобнее даже, не надо делать вид, что ты без вх.
За небольшой промежуток времени видно человека за стеной это не избежать, а если еще уметь играть без софта, то уши+вх это вообще... божественно.
Что сделают твои админы против такого? Ничего, ты даже не будешь знать с вх он или нет
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Safety1st
сообщение 23.12.2013, 21:57
Сообщение #8
Стаж: 12 лет
Город: Moscow

Сообщений: 7228
Благодарностей: 8071
Полезность: 196

Цитата(gudaus @ 23.12.2013, 23:44) *
У меня когда-то стоял SubNetBan. Это не решение. Из-за одного читера банить толпу?
...
Можно пойти другим путём - создать атмосферу, невыносимую для читера.
...
И пусть он подменяет сколько ему влезет, всё равно если полноценно читерить не сможет - сам свалит.

Конечно SubNetBan - не решение. Это крайняя мера.

Из-за одного читера банят и без плагина, вместе со стимовцами)

Вы, кажется, не совсем уловили проблему темы. Задумана была для решения проблемы с обходами банов, которые уже происходят и напрягают. То ли это игрок, который страстно желает играть именно на вашем сервере, то ли школьник, развлекающийся с подменяльщиком. Последний может ставить и ID постояльцев и сознательно добиваться их бана. Хм, а вот против такого использования ограничение некоторых эмуляторов сгодится (не на каждом игрок сумеет выставить определённый ID).

А как способ предотвращения самих обходов для игроков - ваш хорош!
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя gudaus
сообщение 23.12.2013, 22:02
Сообщение #9


Стаж: 12 лет

Сообщений: 1571
Благодарностей: 1211
Полезность: 741

Цитата(perfectblood0 @ 23.12.2013, 23:52) *
Если человек меняет ip сразу после бана?

А если ещё ник и id?
Цитата(perfectblood0 @ 23.12.2013, 23:52) *
Что сделают твои админы против такого? Ничего


Цитата(perfectblood0 @ 23.12.2013, 23:52) *
А блокеры фигня, с ними тоже можно играть и намного удобнее даже, не надо делать вид, что ты без вх.
За небольшой промежуток времени видно человека за стеной это не избежать, а если еще уметь играть без софта, то уши+вх это вообще... божественно.
Что сделают твои админы против такого? Ничего, ты даже не будешь знать с вх он или нет

У меня своё мнение по поводу блокеров после сравнения игры на серверах с ними и без. Чит использовал mph leis 0.2
Читер, описанный тобой - редкость, они предпочитают сервера без блокеров, на них играть легче.

Впрочем, разговор ушёл не туда. Но я не вижу никакого другого способа бороться с подменами. Баны по меткам устарели, протектор рулит, клиент-серверный античит не вариант.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Safety1st
сообщение 23.12.2013, 22:07
Сообщение #10
Стаж: 12 лет
Город: Moscow

Сообщений: 7228
Благодарностей: 8071
Полезность: 196

Обновил шапку.

Цитата
Против развлекающихся школьников, организовывающих баны постояльцев сервера и админов подменой своего ID на определённый, поможет запрет использования определённых эмуляторов: не на всех, вроде бы, легко удаётся выставить определённый ID. sb_def_allowed_clients "bhgj" тогда: разрешаем ещё SC2009 и RevEmu 2013. Появится у меня больше информации - я поделюсь. Не забываем, что в этом случае также нужно будет иметь 'разрешённый' клиент, ссылку на который вы даёте при кике.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя [WPMG]PRoSToTeM@
сообщение 23.12.2013, 22:09
Сообщение #11
Стаж: 11 лет

Сообщений: 1514
Благодарностей: 1025
Полезность: 725

Цитата(Safety1st @ 23.12.2013, 23:57) *
не на каждом игрок сумеет выставить определённый ID.

На любом можно.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Safety1st
сообщение 23.12.2013, 22:12
Сообщение #12
Стаж: 12 лет
Город: Moscow

Сообщений: 7228
Благодарностей: 8071
Полезность: 196

Цитата([WPMG]PRoSToTeM@ @ 24.12.2013, 0:09) *
На любом можно.

Я чуть позже по-иному написал:
Цитата
не на всех, вроде бы, легко удаётся выставить определённый ID.


Если готовы поделиться инфой по подмене на SC2009 и RevEmu 2013 - прошу в личку. У меня на данный момент нет чёткой информации с пруфами.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя AndrewZ
сообщение 23.12.2013, 22:19
Сообщение #13


Иконка группы

Стаж: 15 лет
Город: Санкт-Петербург


Сообщений: 4700
Благодарностей: 2452
Полезность: 1018

Вот жешь дырявая жопа этот counter-strike 1.6, вечно какая-то ерунда появляется. '(


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Safety1st
сообщение 23.12.2013, 22:24
Сообщение #14
Стаж: 12 лет
Город: Moscow

Сообщений: 7228
Благодарностей: 8071
Полезность: 196

Цитата(grishka444 @ 23.12.2013, 23:33) *
Скрытый текст
Цитата
Кто не может настроить этот плагин - в топку ваши сервера @ Safety1st


В данном случае требования ещё жёстче ))
Цитата(Lev)
Требования:
...
• возраст пользователя 18+ или наличие технического образования.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя mysubcult
сообщение 23.12.2013, 22:34
Сообщение #15
Стаж: 10 лет

Сообщений: 382
Благодарностей: 28
Полезность: 86

Цитата(Alexan23 @ 23.12.2013, 23:28) *
хмм а разве аллиас от s7kam не помогает?


Себе поставил,так в бан улетело парочка игроков.

ac_add_alias 1 steam_set_id


Или же есть более свежая фича,которая не палится?))

Это вообще неверный алиас. Логика какая, человек подменил стимид к примеру на стимид моего админа, алиас чекер видит это и банит собственно сам этот стимид, который подменили. Мне вот на днях так админ писал, пишет мол че за фигня, меня забанили, смотрю в логах и именно за это.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя [WPMG]PRoSToTeM@
сообщение 23.12.2013, 22:38
Сообщение #16
Стаж: 11 лет

Сообщений: 1514
Благодарностей: 1025
Полезность: 725

AndrewZ,
это связано больше с криворукостью авторов эмуляторов, а всё это нон-стим среда же...
Safety1st,
ну с перебором там будут явные проблемы, но в целом можно пригласить игрока на сервер к себе и украсть тикет.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 2 раз
   + Цитировать сообщение
Статус пользователя AndrewZ
сообщение 23.12.2013, 22:40
Сообщение #17


Иконка группы

Стаж: 15 лет
Город: Санкт-Петербург


Сообщений: 4700
Благодарностей: 2452
Полезность: 1018

Цитата(mysubcult @ 24.12.2013, 0:34) *
Это вообще неверный алиас. Логика какая, человек подменил стимид к примеру на стимид моего админа, алиас чекер видит это и банит собственно сам этот стимид, который подменили. Мне вот на днях так админ писал, пишет мол че за фигня, меня забанили, смотрю в логах и именно за это.

А это можно исправить несколькими строками кода. К примеру, записывать стимид зашедшего игрока в массив, хукнуть этот алиас, и если он сработал то добавить в бан стимид из массива и кикнуть игрока. Только бесполезное дело получается. )


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя [WPMG]PRoSToTeM@
сообщение 23.12.2013, 22:43
Сообщение #18
Стаж: 11 лет

Сообщений: 1514
Благодарностей: 1025
Полезность: 725

Цитата(AndrewZ @ 24.12.2013, 0:40) *
А это можно исправить несколькими строками кода. К примеру, записывать стимид зашедшего игрока в массив, хукнуть этот алиас, и если он сработал то добавить в бан стимид из массива и кикнуть игрока. Только бесполезное дело получается. )

Игрок во время игры на сервере не может менять steamid
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя AndrewZ
сообщение 23.12.2013, 22:43
Сообщение #19


Иконка группы

Стаж: 15 лет
Город: Санкт-Петербург


Сообщений: 4700
Благодарностей: 2452
Полезность: 1018

[WPMG]PRoSToTeM@,
Ну тогда вообще нет смысла эти алиасы чекать (


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя gudaus
сообщение 23.12.2013, 22:59
Сообщение #20


Стаж: 12 лет

Сообщений: 1571
Благодарностей: 1211
Полезность: 741

Цитата(mysubcult @ 24.12.2013, 0:34) *
Это вообще неверный алиас. Логика какая, человек подменил стимид к примеру на стимид моего админа, алиас чекер видит это и банит собственно сам этот стимид, который подменили. Мне вот на днях так админ писал, пишет мол че за фигня, меня забанили, смотрю в логах и именно за это.

По твоей логике надо все античиты отключать и убирать с сервера админов.
А если человек подменит стимид и будет играть с аимом? Админ видит это и банит собственно сам этот стимид, который подменили.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
45 страниц V   1 2 ... 43 44 »
 
Ответить в данную темуНачать новую тему
 
0 пользователей и 1 гостей читают эту тему: