Mysql hack? Game backdoor?

[Mangoox3]

Guten Abend,

Ich habe seit Tagen ein Problem mit 2-3 Leuten, die sich dauernd Charakter erstellen in der DB, aber ohne Zugriff.
Merkwürdig ist, dass sie Chars erstellen dessen Account ID nicht existiert.
Desweiteren können sie Items createn und in andere Accounts gehen..

Mysql ist von außen gesperrt, d.H nur meine Ip kann zugreifen und localhost, also die game halt..

Weiß jemand bescheid?

Gruß Mango

[Ivica.Lovro]

Ich bin zwar recht unwissend, was MySQL usw. angeht, aber kann es eventuell sein, dass du eine Administrationsoberfläche auf eure HP eingebaut hast? Vielleicht bekommen sie durch diese jeglichen Zugriff, der ihnen die Erstellen von Accounts ermöglicht.
Ich kann mich aber natürlich auch irren. Wenn du es allerdings so eingestellt hast wie es oben steht, sodass nur du zugreifen kannst, erscheint mir dies als einzige Möglichkeit.

[Mangoox3]

Ja, hm, aber man braucht ja Adminberechtigung.
Und die loggen ein ohne einen Account was praktisch unmöglich ist

[Zander#]

Quote:

Originally Posted by Mangoox3

Ja, hm, aber man braucht ja Adminberechtigung.
Und die loggen ein ohne einen Account was praktisch unmöglich ist

benutzt du das mt2gs CMS? das ist nämlich ziemlich anfällig für sowas.
Ansonsten bau den Adminbereich einfach aus
das hilft.

[Coniesan]

Es gibt scheinbar ne Backdoor über die man in einen "privaten/virtuellen" Channel gelangen kann. In diesen kann man sich einfach einloggen und nen Char erstellen.
Des Weiteren gibts nochn paar unschöne Dinge die man darüber anstellen kann.....

Einzig mir bekannter Fix dagegen:
Alle Ports sperren, außer die, die man wirklich benötigt!

[.Inya]

Evtl SQLinjection?

[Mangoox3]

Und wie verhindere ich die Injection?

[Ielinque]

Wir können dir deine Frage nicht zur 100% beantworten, vlt kann man jemanden aus deinem Team nicht vertauen :/

[Anonyme™]

Hey,
Sql-Injectionen kannst du Absichern indem du dein PHP-Code verbesserst b.z.w änderst. Aber du kannst auch die IP's temporär Speeren, damit diese keinen Zugriff mehr erhalten.
Wenn du weitere Sicherheit für deinen Server brauchst, kannst du dich gerne per PN Melden. Kann dir dort auch weiterhelfen.

- Anonyme™

[ElFakar]

-.- Also dem Team kann man 100% Vertrauen solche Unterstellungen sind schon ganz schön dreist..

[.Inya]

Quote:

Originally Posted by ElFakar

-.- Also dem Team kann man 100% Vertrauen solche Unterstellungen sind schon ganz schön dreist..

Unterstellungen? xD wir stellen hier MÖGLICHKEITEN auf um dir zu helfen.

[DerForenLeser]

Einmal Daten komplett abändern, alle Ports closen & die IP's sperren..

[Mangoox3]

War dabei, nur die pf.rules nimmt der Server i.wie nicht er zeigt immer Fehler an..
Syntax Fehler, habe es mit 2-3 Rules probiert, er zeigt es immer falsch an..

[theo1990]

mal was anderes hast ja hoffenltich root gesperrt für den login am server?

[Aerociety]

Quote:

Originally Posted by DerForenLeser

Einmal Daten komplett abändern, alle Ports closen & die IP's sperren..

Alle Ports closen?
Dann kannst doch gleich Server runterfahren / down machen.

MfG