anpera.net :: Thema anzeigen - Gibt es Sicherheitslücken in LOTGD

anpera.net https://anpera.homeip.net/phpbb3/

Gibt es Sicherheitslücken in LOTGD https://anpera.homeip.net/phpbb3/viewtopic.php?f=34&t=492	Seite 1 von 1

Autor:	dragonslayer [ Sa 10 Jul, 2004 11:42 ]
Betreff des Beitrags:	Gibt es Sicherheitslücken in LOTGD
Hallo! Seit kurzem habe ich immer wieder sporadisch seltsame Fehlermeldungen in meinem Errorlog auf dem Server. Folgende Dateien werden im LOTGD Unterverzeichnis als NOT FOUND deklariert media/subtitles media/vogel.ass media/vogel.idx media/vogel.idx media/vogel.psb media/vogel.smi media/vogel.srt media/vogel.ssa media/vogel.sub Meistens gleich ein paar hundert mal hintereinander und immer von einer einzigen IP, weswegen ich davon ausging, dass es sich evtl um einen unkommentierten Bug im Spiel handeln könnte. Wisst Ihr da evtl Bescheid? Gruss Dragonslayer

Autor:	anpera [ Sa 10 Jul, 2004 12:10 ]
Betreff des Beitrags:
Nein, von Sicherheitslücken im LoGD-Code ist mir bisher nichts bekannt. Das sollte auch nicht so leicht möglich sein, wenn der Server ordentlich konfiguriert ist und man beim Schreiben aufpasst, welche Dateien offen liegen. Die Fehlermeldung hätte ich auf einen unvollständig installierten Mod zurückgeführt... allerdings gibt es eine Audiodatei namens "media/vogel.wav" in meiner Version. Nachdem ich solche Einträge auch bei mir in den Logs hab, vermute ich, dass irgendwelche Spieler vielleicht einen exotischen Browser oder MediaPlayer benutzen, dessen Player-Plugin nach anderen Audioformaten (bzw. nach Untertiteln) sucht. Gib doch die IP aus dem aktuellsten Log-Eintrag einfach mal im User-Editor ein und frage den Spieler dann, welchen Browser bzw. welches Player-Plugin er benutzt. Dann kannst du ihn bitten, die Sounds in seinem Profil zu deaktivieren, damit die Einträge aufhören. Als Grund zur Sorge sehe ich das nicht an.

Autor:	dragonslayer [ Sa 10 Jul, 2004 12:19 ]
Betreff des Beitrags:
Gut, ok, das beruhigt mich. erstmal. Ich nehme an es handelt sich um die letzte von Dir angesprochene Variante-der Browser. Die LOTGD Version ist das letzte von Dir hier veröffentlichte Programmpaket, also sollte es kein MOD Problem sein und mein Server ist eigentlich sehr restriktiv eingestellt...naja Gut, okay, bin zumindest erstmal froh, dass es keine bekannten Lücken gibt. Danke Dragonslayer

Autor:	rumburak [ Fr 08 Dez, 2006 14:29 ]
Betreff des Beitrags:
Erstmal sorry, dass ich einen sooo alten Thread ausgrabe. Aber da die Überschrift schon passt, brauch ich auch nicht extra einen neuen zu erstellen. Ich wollte mal fragen, ob schonmal jemand von Euch einen Cheater hatte bzw ob Cheaten überhaupt möglich ist? Bei meinem Streifzug durchs Forum sah ich schon diverse Andeutungen von Sicherheitslücken. Aber hattet Ihr schonmal jemanden, der sich rasend schnell vorankämpfte (selbst wenn der Server mal lahmt) und in kürzester Zeit knapp 600 Drachenkills erreichte, zudem auch seltsame Verhaltensweisen aufweist, wie das exakte farbliche Darstellen von Namen anderer Charaktere beim rpg auf dem Dorfplatz? Natürlich kann man in mühevoller Arbeit die Farbcodes selbst zusammenprummeln, aber wo bleibt da dann noch die Zeit, 600 Drachenkills zu erreichen? In unserer Markthalle ist der Schwarzhandel erlaubt. Das heisst, dass wir es gestatten, dass die Bürger vor einem Drachenkill die Ausrüstung untereinander tauschen. Man spricht sich also mit jemandem seines Vertrauens ab (fördert auch die Kommunikation und den intensiveren Umgang miteinander), trifft sich in der Markthalle und verkauft ihm für 2 oder 3 Gold die Ausrüstung, um sie direkt nach dem Drachenkill zurück zu kaufen. Das ist ein Geben und Nehmen nach dem Motto "eine Hand wäscht die andere". Da aber alles Positive (auch im Sinne des Gleichgewichts) einen negativen Beigeschmack haben sollte, weisen wir ausdrücklich darauf hin, dass alles, was in der Markthalle angeboten wird, für ALLE angeboten ist. Kurz: Wer es kauft, dem gehörts. Wer tauscht, tauscht auf eigenes Risiko. Wer sich danach beschwert, dass es jemand anderes vor der Nase wegkaufte, riskiert Sanktionen. Die Markthalle ist schliesslich ein öffentlicher Handel. Und zudem ist das alles Nervenkitzel pur. Nun aber zurück zum Thema nach dieser umfangreichen Erklärung unserer Sitten und Gebräuche. Unsere Schurkenzunft hat es sich (wie erwartet und gewünscht) zur Aufgabe gemacht, hin und wieder zuzugreifen, wenn sie denn schnell genug sind. Der besagte Bürger ist einer von denen und IMMER zur rechten Zeit am rechten ort, wenn es darum geht, anderen die Ausrüstung beim Tausch vor der Nase wegzuschnappen. Er ist sofort da, wenn sich zwei in der Markthalle treffen, um zu tauschen. Als ich mit ihm und einem weiteren Bürger online war, kaufte ich nach einem Drachenkill vor seinen Augen eine Waffe und eine Rüstung, die auch recht passabel waren. Es gab also keinen grund mehr für ihn, zu lauern (da nur wir drei ind er Nacht online waren). Nach drei-vier Minuten verabredeten wir uns trotzdem zum Tausch - und nun ratet mal, wer wieder zum richtigen Zeitpunkt zur Stelle war? Ich mache mir einfach Gedanken und auch Sorgen - ist es möglich zu cheaten oder ist er einfach nur King Louie des LotGD?

Autor:	Darkness [ Fr 08 Dez, 2006 19:36 ]
Betreff des Beitrags:
Also wenn ich mir den Text so durchlese... dann sieht das nach einem verdammt gut programmierten Bot aus xDD ne schwerz beiseite... kann es sein, dass er irgendwie zugang zu deiner Dantebank hat (also das PW geknackt hat)... das würde dies alles nämlich erklären... so könnte er an alle namen kommen, alle mails lesen und beliebig seinen account so verändern, dass er so viele DKs machen kann... oder sich ggf. scripte schreiben, die dies alle für ihn tun ;-) Ich würde dir raten... 1. änder dein Passwort ;-) wenn du das glecihe PW noch irgendwo verädners wärs auch ratsam das zu ändern 2. Stelle den User mal zur Rede und frag ihn selbst wie er das schafft...

Autor:	theTJ [ Fr 08 Dez, 2006 21:11 ]
Betreff des Beitrags:
Darkness hat geschrieben: ne schwerz beiseite... kann es sein, dass er irgendwie zugang zu deiner Dantebank hat (also das PW geknackt hat)... das würde dies alles nämlich erklären... vielleicht is auch auf irgenteine unerklärliche weise die dbconnect.php in der sources.php sichtbar... so käme man nähmlich ganz leicht an das db-pw... nur mal so als anmerkung... greetz theTJ

Autor:	Taikun14 [ Sa 09 Dez, 2006 00:17 ]
Betreff des Beitrags:
Ich gehe mal davon aus, DU hast ALLE bekannten Sicherheitslücken geschlossen. Naja.. Für kleine Scriptkiddies is da keine Chance mehr reinzukommen, wenn du aber einen Fachmann in dem Gebiet hast, dann bekommste wahrscheinlich Schwierigkeiten. Schau dir einfach mal alle Logs vom Server etc. an und vergleiche die IP's. Am Besten wäre auch wenn du deinen PC mal auf Trojaner untersuchst usw. Falls du direkt alle PW's ändern solltest, mach sie sicher, richtig sicher ( 30 Buchstaben, Zahlen usw. ). Man kann wie immer nur spekulieren, aber sollte Abhilfe schaffen..

Autor:	Deathbringer [ Sa 09 Dez, 2006 14:26 ]
Betreff des Beitrags:
Und das ist alles definitiv falsch! Ja ja das bekannte DK an einem Tag ect. ist relativ leicht durchzuführen. Man kann aus jedem Kampf flüchten! Wenn man merkt man verliert gibt man einfach oben inner Adresszeile irgendein Skript das in der common.php bei den allownav hinterlegt ist und schon ist man draussen! Wenn du diesen Code in der Common.php nicht eingefügt hast kann sich jeder Spieler endlos viele newdays besorgen! $this->bbcode_second_pass_code('', ' /// Öffne: common. /// Finde: $SCRIPT_NAME=substr($SCRIPT_NAME,strrpos($SCRIPT_NAME,"/")+1); /// Füge danach ein: // Notfall-Fix gegen Cheaterei if (substr($SCRIPT_NAME,strrpos($SCRIPT_NAME,".php"))!=".php" \|\| strpos($PATH_INFO,".php")){ echo "Verarbeitung abgebrochen. Das Script ist ungueltig."; exit(); } ') Steht im übrigen auch in der Changes Log von Anpera! Nun hast du halt nurnoch das Problem das jeder user in die $allownonnav automatisch und ohne Fehlermeldung bzw badnav switchen kann! Jeder link der dort eingetragen ist kann halt aufgerufen werden.! So ist ne kleine Cheaterei möglich! Den code oben solltest du unbedingt abändern dadurch ist nämlich herbes cheaten möglich! Kannst den code auch noch dahin abändern das du ne sysmail bekommst wenn es jemand versucht!

Autor:	rumburak [ So 10 Dez, 2006 08:10 ]
Betreff des Beitrags:
Danke, habs mal eingebaut und harre der Dinge. edit: Funktioniert leider nicht einwandfrei. Ich komme nicht mehr in unsere Handelsgasse, wenn ich das aktiviere.

Autor:	Harthas [ So 10 Dez, 2006 09:41 ]
Betreff des Beitrags:
Dann mach aus: [php]addnav("H?`t`bHandelsgasse`b","handelsgasse");[/php] Mal [php]addnav("H?`t`bHandelsgasse`b","handelsgasse.php");[/php] ;-)

Autor:	rumburak [ So 10 Dez, 2006 10:50 ]
Betreff des Beitrags:
Danke (nochmals)!

Seite 1 von 1	Alle Zeiten sind UTC + 1 Stunde
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/