Туториал Защита и безопасность сервера майнкрафт - 2022 | устранение уязвимостей/защита от взлома

От массовых банов можно прикрутить какой-то алгоритм, который будет понимать, что если игрок начинает слишком много банить, то ему запрещать делать это на ближайшее время, а также, неплохо было бы разбанить всех игроков, которых он забанил. Не помню уже как эти алгоритмы называются, но они используются для анализа Ddos атак. Когда-то поверхностно изучал эту тему... Помню что-то было связано с энтропией в Ddos атаках)

От взлома можно ввести систему PIN-кодов. Если игрок пытается воспользоваться командой, которая может навредить серверу (тот же бан/мут), то попросить его один раз ввести PIN-код. Я когда-то делал такую защиту на своем сервере, чтобы даже если взломают админов, то никто ничего не сможет сделать серверу.

 

Система со скриптом довольно сложная, хотя я видел, что она применяется на ряде серверов. В принципе будь это общедоступным - можно было бы использовать, но разработать самому... у меня даже идей нет как это сделать.

А пин коды... а админ пароль не из этого разряда?

 

У меня в универе одногруппник делал курсовую по анализу Ddos атак. Что-то там у него вышло) Вот эту штуку думаю как-то можно прикрутить и в Minecraft. Главное найти код рабочий.

Админ пароль - да, из этого ряда. Я просто такие плагины не искал, поэтому не сильно в них шарю) Когда свой сервер создавал, то и сделал такой простенький плагин сам на защиту.

 

Важное замечание для всех, кто создавал по данному гайду себе кастомные плейсхолдеры. Блокируйте команду jsexp, jsexpansion и javascriptexpansion! Ни при каких обстоятельствах НИКТО кроме консоли не должен иметь доступа к данной команде!

 

В догонку добавил информацию про блокировку команд Velocity, а также убрал упоминание AAP, т.к. автор судя по всему забросил разработку, а жаль.

 

Мне кажется ты скорее о школопомойках каких-то говоришь, где конечно даже элементарного плагина на защиту от рекламы нет, не говоря уж о возможности удалённо следить за ним (Не через консоль). Поигрывал я на одном сервере, название которого я говорить не буду с целях собственной безопасности: Так вот там была возможность этому STAFF'у прямо с сервера в Discord следить за логируемыми действиями игроков, и если что наказывать парой движений. Вот это я понимаю, да - то, к чему надо стремиться. А вот помогать помойкам, оставшимся в 2017 году, с их скачанными сборками, * и опками за 1000 рублей смысла вижу немного.

Вот уж не знаю, зачем тут алгоритм какой-то нужен: Достаточно просто задержку на команду бана прикрутить большую - такое на большинстве серверов сейчас (Или вообще сделать её динамической, чтобы при каждом новом бане задержка становилась больше (Первый бан - минута, к примеру, второй бан уже 10 минут)). Я просто не понимаю, какую касту игроков можно ТАК МНОГО и ТАК ЧАСТО банить, чтобы выдать, ну, там, хотя бы 5 банов за час на одного модератора. Читеров должен банить античит, спамеров антиспам. Будто у каждого тут средний онлайн под сотню, и нарушителей правил (Помимо всяких вычурных уровня оскорблений в чате, за них обычно мутят а не банят) найдётся минимум с десяток. А вообще я бы и право на вечный бан не давал никому.

 

Обычный DiscordSRV, ничего необычного. На самом деле мыслишка то хорошая, но кое-кто не учел 1 момент. STAFF то нужОн не только для чата, но и для (ну допустим) ответов на вопросы игроков, разрешения конфликтов, слежки за действиями игроков (теми же читерами)
А защита от пиара не спасает от слова совсем. На личном опыте убедился как же это не просто заблокать всё что можно. Заблокируешь .ru - они сделают .ру, заблокаешь это - скажут точка ру итд, так что никто кроме живого человека пиар нормально не отследит.

На их смену пришли тупорылые грифы, а там - их знаменитое качество. И вроде и век не прошлый, а один хер деградация даже по сравнению с теми выживалками.

К примеру если обнаружилась группа читеров-тимеров. Ну или другие рецедевисты, коих с моими строгими на сервере правилами к примеру может быть больше 3х за раз.

Привет ложным срабатываниям или же иной стороне - неработающему античиту. Не секрет, что нынешние читы без труда обходят большинство русских платных читов, а бесплатные уже подавно. Сделаешь АЧ строгим - пострадают простые игроки. Сделаешь АЧ сильным - даёшь разгул читерам, которым не жаль отдать 500 рублей разрабу чита, нежели покупать у тебя донат.
Про антиспам говорил выше. Нельзя просто так взять и отследить рекламщика, который может вставить в свой текст английские/русские буквы (к примеру беря домен aboba.host тут уже можно сделать тысячи вариаций из сочетаний русских/англ букв, а также не забываем о пробелах, точках и прочих символах, которые могут встать на их место).

 

Самое время делать нейронку, которая сможет отслеживать эти рекламные штучки

С одной стороны, если игрок сделает вариацию из домена, например добавит русские символы, пробелы и т.д., то этот домен становится не рабочим и врядли игрок захочет переписывать этот домен в поисковик и искать рекламируемый проект... Это мне так кажется. Игрокам нужна сразу готовая ссылка, чтобы скопировать и вставить.

 

/staffrollback {ник модератора} 1d

надеюсь что разработчики многих плагинов на баны додумались до такой функции

 

Ага, хер! Только в лайтбанс осталась, а он платный, а щас мы не можем купить ничего со спигота

 

Ну знаешь... на большую часть этого можно ответить просто - а не проще ли просто забить? Выше NuaN правильно подметил, что не каждый удосужится расшифровать что там за домен в рекламе и оперировать им дальше. Нет никакого смысла в такой рекламе... Да и тем более - а что такого плохого в этой рекламе-то? Будто сильно онлайн пострадает... хотя если он и пострадает, то это будет лишь вина администратора - раз уж даже удержать онлайн ему невмоготу. Насчёт слежки за игроками и античитов расскажу одну историю: Был у меня один хороший знакомый, ник его был test. Держал он сервер для одного известного в узких кругах на тот момент форума - держал долго, и на сервер почти никогда не заходил. Так вот хитрость была его в двух вещах: Первая - на сервер доступ был только через лаунчер. Все инжекты в него были отрезаны на корню, никоим образом свой подлый читерский инструментарий встроить было невозможно. А второе - он очень хитро владел логируемыми данными, и даже не заходя на сервер мог понять, что кто-то дюпает или пытается считерить. Консоль, так-то, очень полезная штука. Хотя мне и поныне не до конца известно, как он так искусно владел этой хитростью.
Насчёт тупорылых грифов - всё-таки не понимаю я, зачем стараться ради помоек людей, которым вообще может прийти в голову сборку на сервер поставить? Это же полнейший бред - если человек не может самостоятельно плагины собрать и настроить (А тем более написать), то зачем ему вообще какие-то наставления.
Ну и про STAFF - опять же, а зачем простому помощнику нужна опка и возможность бана? Пусть сидит на вопросы отвечает, в режиме наблюдателя следит за игроками и если что рапортует кому-то, у кого уже есть доступ к консоли. А доступ к консоли, кстати, от аккаунта в игре-то и не зависит. Если нужно забанить кого-то - не обязательно вводить команды бана в чат: Можно просто открыть какой-нибудь RCON (Или панель управления, если сервер не на VDS. Хотя не уверен в существовании хостингов, где есть возможность как на Атерносе выдать отдельно к чему-то доступ), например на втором мониторе, и банить уже оттуда.

 

хостингмайнкрафт какаха, так что можно не переживать по поводу качества рекламируемого сервера

 

Так весь прикол в том что именно тупые бандерлоги которые тока на сервере 5 плагинов поставили уже бегут к тебе пиариться

 

Новый эксплоит на серверах с 1.14.X и далее до 1.18.2 Работает на Paper и большинстве форков.


Недофикс - https://www.spigotmc.org/resources/nolecterncrash.101160/

 

Исходный код уязвимости выше для тех, кому лень искать:
https://pastebin.com/bQ05zfrJ

Оперативненько. Один вопрос - почему фикс поддерживает все версии, начиная с 1.7, если кафедру добавили в 1.14?

 

По тому что автор так захотел

 

я видел плагин который работает с версии 1.7 до 1.12, но для его работы нужна библиотека которая работает только на 1.15 xD

 

На ряде крупных серверов это уже работало. Это не только на 1.18 работает, а на 1.17, 1.16 ну и там где есть кафедра

 

надо будет чекнуть на spworlds