Da ja in letzter Zeit immer mehr Server gehackt werden und oftmals nur die account.sql released werden hatte ich vor einige Zeit mal das Skript für Shiro2 gemacht.
Es ist so aufgebaut das man die Account-ID braucht, das Passwort, ein Charakternamen und die Anzahl der Charaktere. Sollte alles stimmen wird das Passwort geändert und der Accountstatus geht zurück auf OK.
Ihr fügt die sysbugpwchange.php in eurem Pages Ordner ein. Ihr müsst ggf. anpassung an eurem Design machen.
Anschließend öffnet ihr die head.inc.php im inc Ordner und fügt dort das ein:
$sqlCmd = "SELECT id,login FROM account.account WHERE password=PASSWORD('".$oldPass."') AND id='".$_SESSION['user_id']."' and status='BUSY' LIMIT 1"; $sqlQry = mysql_query($sqlCmd,$sqlServ);
Jeder Account der den Status BUSY drin hat muss vorher das machen. Ihr könnt auf euren Pages z.B. noch eine Meldung einbauen das würde so gehen:
PHP Code:
if(!empty($_SESSION['need_pwchange'])) { echo '<b style="color: red;">Durch eine Sicherheitslücke im System, seid ihr gezwungen euer Passwort zu ändern dies erledigt Ihr hier, nach der Änderung könnt ihr euch wieder Ingame in euren Account einloggen. WICHTIG: Bitte verwendet keine Account-Details die Ihr bereits verwendet habt. <br><a href="index.php?s=sysbugpwchange">Passwort ändern.</a></b>'; }
Denke das ganze sollte verständlich sein. Sollte noch jemand fragen dazu haben kann er sich gerne wieder bei mir melden.
Großen Dank an dich!
Du versuchst wenigstens etwas gegen die Hacker zu unternehmen.
Man merkt, dass du sehr gegen dieses "Hacken" bist, was ich sehr gut finde.
Joa ganz nett, nur nützt es leider nicht all zu viel gegen Hacker!
Wenn einer die hashes gebrutet hat und der User seine Mail und das PW evtl noch bei Skype oder sogar PayPal nutzt, dann ist sein Metin2 Account das kleinste Problem!
Ich würde einfach die Leute dazu zwingen PW's zu nutzen, die aus:
min. 6 Buchstaben (groß & klein)
min. 3 Zahlen
min. 1 Sonderzeichen
bestehen! Sodass die Wahrscheinlichkeit, dass das PW in einem der "bekannten" Hash "Decode" Seiten oder in einer Wordlist vorhanden ist, sinkt!
Da erwartest du zuviel das die User ein Verständnis für Passwort Sicherheit entwickeln.
Ich habe Spieler die zocken seit 3 Jahren und haben Passwörter und SF Fragen wie aus Kindertagen.
Joa ganz nett, nur nützt es leider nicht all zu viel gegen Hacker!
Wenn einer die hashes gebrutet hat und der User seine Mail und das PW evtl noch bei Skype oder sogar PayPal nutzt, dann ist sein Metin2 Account das kleinste Problem!
Ich würde einfach die Leute dazu zwingen PW's zu nutzen, die aus:
min. 6 Buchstaben (groß & klein)
min. 3 Zahlen
min. 1 Sonderzeichen
bestehen! Sodass die Wahrscheinlichkeit, dass das PW in einem der "bekannten" Hash "Decode" Seiten oder in einer Wordlist vorhanden ist, sinkt!
Das ist schon klar dient ja auch nur als Schutz der Accounts auf dem eigenen Server. Vielleicht kommt bald noch eine Funktion die beim registrieren das Passwort prüft und schaut ob das in Hash-Tables ist und wenn es drin ist das man es nicht nutzen kann.
Naja aber welche Hash table willst du da verwenden?
Außerdem, wenn du ne ordentliche nimmst (so 25GB+) dann wünsch ich den Spielern viel Spaß bei der Registrierung (das dauert nämlich ne Weile....!)
Wie gesagt, man zwinge den Spieler einfach sich ein GESCHEITES Passwort zu erstellen, und wenn man es ihnen in das PW Feld als Vorschlag gleich rein generiert (weil se selbst zu unkreativ sind)
Naja aber welche Hash table willst du da verwenden?
Außerdem, wenn du ne ordentliche nimmst (so 25GB+) dann wünsch ich den Spielern viel Spaß bei der Registrierung (das dauert nämlich ne Weile....!)
Wie gesagt, man zwinge den Spieler einfach sich ein GESCHEITES Passwort zu erstellen, und wenn man es ihnen in das PW Feld als Vorschlag gleich rein generiert (weil se selbst zu unkreativ sind)
Keiner von den wannabes die hier die Server hacken verfügen über so große Hash-Tables xD
Aber egal ist ja im Prinzip Eigenverantwortung der User.
Joa ganz nett, nur nützt es leider nicht all zu viel gegen Hacker!
Wenn einer die hashes gebrutet hat und der User seine Mail und das PW evtl noch bei Skype oder sogar PayPal nutzt, dann ist sein Metin2 Account das kleinste Problem!
Ich würde einfach die Leute dazu zwingen PW's zu nutzen, die aus:
min. 6 Buchstaben (groß & klein)
min. 3 Zahlen
min. 1 Sonderzeichen
bestehen! Sodass die Wahrscheinlichkeit, dass das PW in einem der "bekannten" Hash "Decode" Seiten oder in einer Wordlist vorhanden ist, sinkt!
Naja ein PW aus 6Ziffern,3Zahlen und 1 Sonderzeichen ist ebenfalls kein Problem...
Rootserver her nehmen und die ganze Account.sql bzw die Hashes bruten.
b2t: ein kleiner Fortschritt für die Probleme.
Thx
Da ja in letzter Zeit immer mehr Server gehackt werden und oftmals nur die account.sql released werden hatte ich vor einige Zeit mal das Skript für Shiro2 gemacht.
Es ist so aufgebaut das man die Account-ID braucht, das Passwort, ein Charakternamen und die Anzahl der Charaktere. Sollte alles stimmen wird das Passwort geändert und der Accountstatus geht zurück auf OK.
Ihr fügt die sysbugpwchange.php in eurem Pages Ordner ein. Ihr müsst ggf. anpassung an eurem Design machen.
Anschließend öffnet ihr die head.inc.php im inc Ordner und fügt dort das ein:
$sqlCmd = "SELECT id,login FROM account.account WHERE password=PASSWORD('".$oldPass."') AND id='".$_SESSION['user_id']."' and status='BUSY' LIMIT 1";
$sqlQry = mysql_query($sqlCmd,$sqlServ);
if($passUpdate) {
$message = '<p class="meldung">Passwort erfolgreich geändert.</p>';
unset($_SESSION['need_pwchange']);
}
else {
$message = '<p class="meldung">Ändern fehlgeschlagen.</p>';
}
} else {
$message = '<p class="meldung">Ändern fehlgeschlagen.</p><p class="meldung">Die Anzahl der Characktere ist falsch!</p>';
}
} else {
$message = '<p class="meldung">Ändern fehlgeschlagen.</p><p class="meldung">Es existiert kein Charackter auf diesen Account mit dem Namen!</p>';
}
}
}
else {
$message = '<p class="meldung">Ändern fehlgeschlagen.</p><p class="meldung">Dein altes Passwort ist falsch!</p>';
}
} else {
$message = '<p class="meldung">Ändern fehlgeschlagen.</p><p class="meldung">Es wurden nicht alle Daten korrekt eingegeben.</p>';
}
}
Am besten ganz oben aber hinterm <?PHP
Jeder Account der den Status BUSY drin hat muss vorher das machen. Ihr könnt auf euren Pages z.B. noch eine Meldung einbauen das würde so gehen:
PHP Code:
if(!empty($_SESSION['need_pwchange'])) {
echo '<b style="color: red;">Durch eine Sicherheitslücke im System, seid ihr gezwungen euer Passwort zu ändern dies erledigt Ihr hier, nach der Änderung könnt ihr euch wieder Ingame in euren Account einloggen. WICHTIG: Bitte verwendet keine Account-Details die Ihr bereits verwendet habt. <br><a href="index.php?s=sysbugpwchange">Passwort ändern.</a></b>';
}
Denke das ganze sollte verständlich sein. Sollte noch jemand fragen dazu haben kann er sich gerne wieder bei mir melden.
Gruß,
Chuck Norris.
P.S: Query um Status auf BUSY zu setzen:
PHP Code:
UPDATE `account`.`account` SET `status`='BUSY' WHERE `status`='OK';
Danke damit du es Public machst.
Werden die meisten gebrauchen können.
[Zwangs-Release] Injashi Homepage 03/16/2013 - Metin2 PServer Guides & Strategies - 33 Replies Hallo Leute, da ich gesehen habe das viele, sehr viele Leute meine Gekaufte Homepage Rippen und weiter verkaufen, sehe ich mich gezwungen diese nun öffentlich zu machen.
Es handelt sich, wie ihr Sicherlich schon um die Injashi Homepage von Chris ( iKyroja ), welche so Aussieht :
http://fc04.deviantart.net/fs71/f/2012/189/3/0/in jashi_webdesign_by_ikyroja-d56g85e.jpg
Diese Homepage bietet euch :
Komplette anpassung in HTML und CSS.
Ein Funktionierender und einfacher jQuery Slider.
![[Release] Zwangs Passwortänderung](https://www.elitepvpers.com/forum/iconimages/metin2-pserver-guides-strategies/release-zwangs-passwort-nderung_ltr.gif){kind=small}
