Jump to content

¿Ataques a servidores de Metin2?


Break

Recommended Posts

Hola Zoneros,

Ayer me comento un viejo amigo, que podía hacer para sentirse más seguro a la hora de abrir un servidor. La verdad que la mejor manera de aprender es con la experiencia, pero entiendo que mucho de vosotros, no quiere pasar por el mal rato de que le tumben la página web o que le acosen porque le hayan pillado los datos etc.

A continuación voy a dar unos tips a la hora de abrir el servidor.

 

Tip 0: Dominio

 

Cuando compréis un dominio, por favor mirar que vuestros datos no sean públicos, que tengáis protección de datos, sino con cualquier plataforma de whois, se pueden ver vuestros datos personales, donde vivís, vuestro número de teléfono etc. El mejor sitio, donde los datos no son almacenados, y webzen no puede hacer mucho con vosotros es

Debes iniciar sesión para ver el contenido del enlace en esta publicación.
, comprar un dominio .to, lo recomiendo, aunque sea más caro.

 

Tip 1: ¿Qué vps/dedicado compro?

 

Lo que os recomiendo para cualquier infraestructura, es estar en OVH, ya que permiten muchísimas configuraciones beneficiosas para nuestro servidor.

Cualquier servidor de aquí: 

Debes iniciar sesión para ver el contenido del enlace en esta publicación.
son aconsejables, la marca blanca de OVH conocida como soyoustart, no la recomiendo ya que no tiene para configurar un firewall personalizado para nuestro servidor.

Una vez que elijamos nuestro servidor, lo que tenemos que instalar es PROXMOX, para hacer diferentes máquinas virtuales en nuestro propio dedicado, aquí deberemos de instalar 3 vps. Un vps para el servidor del metin2, otro para el hosting web y otro para el hosting patcher.

 

Tip 2: ¿Es aconsejable tener las tres cosas en el mismo dedicado? 

 

Si os digo la verdad, la web y el vps del metin, si es aconsejable ya que va a cargar más rápido con el servidor con las sentencias SQL y va ser más optima, nuestro hosting web, tiene que estar con las DNS de cloudflare.

Debes iniciar sesión para ver el contenido del enlace en esta publicación.

¿Por que usar cloudflare? 

OVH, tiene una exceleten protección para los ataques pero no todo es un camino de rosas, por ejemplo los ataques de 

Debes iniciar sesión para ver el contenido del enlace en esta publicación.
 , OVH le cuesta mucho detectar estos ataques y cuando lo detecta ya tenemos nuestra página web offline, por lo que una correcta configuración de Cloudflare, nos protegerá del ataque layer 7, de muchas maneras configurando el firewall de CloudFlare o haciéndolo más rudo poniendo captcha a la hora de conectar con nuestro sitio web. La mayor parte de la comunidad de metin2 utiliza la famosa web de ionut 
Debes iniciar sesión para ver el contenido del enlace en esta publicación.
 , hay un problema y es que cada vez que un usuario entra al ranking hace un SELECT, una petición directa a la mysql, imaginaros 300-500 bots haciendo F5 al ranking, ¿Qué pasaría? pues para eso usamos CloudFlare, para mitigar el ataque, y no nos provoque una saturación la base de datos de nuestro servidor de Metin2.

Pequeño inciso CloudFlare, también nos ayuda a ocultar la dirección ip de nuestro hosting, esto también es vital.

 

Tip 3: ¿Actualizador en otro hosting, que no sea en la web?

 

Pues si amigos, debemos de instalar un tercer VPS para tener nuestro actualizador ya que cualquier persona, puede ver de donde se descarga las actualizaciones, es decir con dale actualizar nuestro cliente, se puede ver de donde se esta realizando la descarga, sería de tontos poner nuestro actualizador en el mismo hosting que la web, porque estaríamos dando la ip de nuestro hosting. Y es mejor mitigar un ataque donde solo tenemos nuestro actualizador, que tener la página web offline etc.

 

Tip 4: ¿Por estar en OVH mi vps de metin2, estoy fuera de que me tumben?

 

Realmente no, he visto gente que realiza ataques a los puertos de metin2, falseando paquetes, ya que el metin los tiene que procesar y alfinal termina en .core, esto por desgracia, OVH no lo para, tenemos que ser nosotros mismos con el código fuente del juego en fixearlo, creo recordar que en metin2dev, ya han publicado algo sobre ello.

Por otro lado, existe los famosos ataques de Cheper, que son de DDos puro, lo hace de tal manera que ovh, no lo detecta como ataque, ya será por una gran magnitud de la botnet y limitando las peticiones por cada bot, que hace indetectable a ovh. Para ello, recomiendo utilizar el pf, en

Debes iniciar sesión para ver el contenido del enlace en esta publicación.
 publicaron un firewall y comentan como utilizarlo, sinceramente mejor que nada es. Pero no parara al cheper, recomiendo editar el firewall, y en caso de ataque, cerrar la lista de acceso a jugadores, es decir que solo puedan conectar con el vps, los jugadores nuestros que sabemos su dirección ip en nuestra tabla player, y para los nuevos con logear en la página web o hacer un catpcha se añada la ip a nuestro firewall y ya permita el acceso. Esto último lo puse aprueba en dos servidores y es eficaz.

 

Además que es obligatorio, de configurar nuestro firewall en OVH, que es independiente a nuestro firewall interno del vps, poniendo los puertos de nuestro metin2, sino no hará mucho el firewall externo.  

Debes iniciar sesión para ver el contenido del enlace en esta publicación.

 

No he querido entrar mucho en detalle por pereza, pero si alguien necesita ayuda o requiere servicios de administración me puede comentar, animo a que preguntéis y os respondo encantado.

¡Un saludo y que no os tumbe!

 

 

 

 

 

 

Link to comment
Share on other sites

Buen aporte, no entiendo la gente que compra webhost de 5 euros al mes teniendo un dedicado de 32GB de RAM. Si te floodean la base de datos se va a caer igual.

El artículo al que has puesto link sobre pf es mío y como bien dices el pf con rate limiting no va a parar esos ataques "lentos" que se hacen a baja velocidad pero desde un gran número de IP distintas.

Hace poco programé un sencillo sistema que hace lo que describes, permitir sólo la entrada a las IP de nuestros jugadores, y mis clientes que lo usaron están muy contentos.

Link to comment
Share on other sites

hace 1 hora, Shogun dijo:

Buen aporte, no entiendo la gente que compra webhost de 5 euros al mes teniendo un dedicado de 32GB de RAM. Si te floodean la base de datos se va a caer igual.

El artículo al que has puesto link sobre pf es mío y como bien dices el pf con rate limiting no va a parar esos ataques "lentos" que se hacen a baja velocidad pero desde un gran número de IP distintas.

Hace poco programé un sencillo sistema que hace lo que describes, permitir sólo la entrada a las IP de nuestros jugadores, y mis clientes que lo usaron están muy contentos.

Es lo más viable hacer una lista única de ips permitidas de jugadores y filtrar dicha lista, por si hay algún jugador termina floodeando, lo demás todas las direcciones bloqueadas.

Yo te recomiendo que no hagas programas externos, simplemente desde el mismo PF, con un script en bash mismo que saques las ip de los jugadores con : SELECT DISTINCT ip FROM player; para que no se repitan las ips de si algún jugador tiene otro pj, y haga el volcado a un .txt y ya el pf cargue ese .txt como lista de ips permitidas. Y si hay algún jugador nuevo que no se encontrase en esa lista pues simplemente que lo añada la misma página web por un login o algo parecido al PF, pero que tengan que hacer un captcha el usuario y ya estaría. Pero los bloqueos te recomiendo que lo hagas con el PF y no por programas externos, lo digo porque he visto códigos raros donde hacen que el código fuente del metin2, se encargue de filtrar las direcciones ips y eso es inviable.

Link to comment
Share on other sites

54 minutes ago, Break said:

Es lo más viable hacer una lista única de ips permitidas de jugadores y filtrar dicha lista, por si hay algún jugador termina floodeando, lo demás todas las direcciones bloqueadas.

Yo te recomiendo que no hagas programas externos, simplemente desde el mismo PF, con un script en bash mismo que saques las ip de los jugadores con : SELECT DISTINCT ip FROM player; para que no se repitan las ips de si algún jugador tiene otro pj, y haga el volcado a un .txt y ya el pf cargue ese .txt como lista de ips permitidas. Y si hay algún jugador nuevo que no se encontrase en esa lista pues simplemente que lo añada la misma página web por un login o algo parecido al PF, pero que tengan que hacer un captcha el usuario y ya estaría. Pero los bloqueos te recomiendo que lo hagas con el PF y no por programas externos, lo digo porque he visto códigos raros donde hacen que el código fuente del metin2, se encargue de filtrar las direcciones ips y eso es inviable.

Así funciona, aunque el script lo hice en PHP. Sacar las IPs de los jugadores de la base de datos es viable hasta que su proveedor les renueva la IP o entra uno nuevo, necesitas darles acceso de forma transparente y ahí está el quid de la cuestión 🙂

Link to comment
Share on other sites

hace 3 minutos, Shogun dijo:

Así funciona, aunque el script lo hice en PHP. Sacar las IPs de los jugadores de la base de datos es viable hasta que su proveedor les renueva la IP o entra uno nuevo, necesitas darles acceso de forma transparente y ahí está el quid de la cuestión 🙂

Para mitigar el ataque, supongo que será 1-2 horas, no creo que estén más de 20 horas sufriendo un ataque. Pero vamos, sería ya estudiar para cuando abras el cliente de Metin2, te habrá una página web en modo oculto en python y que haga un refresh cada 'x' tiempo a una url en php y verifique que la ip no se haya cambiado, todo se puede hacer si lo puedes pensar, lo puedes programar.

 

Un saludo!

Link to comment
Share on other sites

6 hours ago, Break said:

Para mitigar el ataque, supongo que será 1-2 horas, no creo que estén más de 20 horas sufriendo un ataque. Pero vamos, sería ya estudiar para cuando abras el cliente de Metin2, te habrá una página web en modo oculto en python y que haga un refresh cada 'x' tiempo a una url en php y verifique que la ip no se haya cambiado, todo se puede hacer si lo puedes pensar, lo puedes programar.

 

Un saludo!

Hecho ya está, otra cosa es que quiera dar detalles por seguridad de mis clientes!

¿1-2 horas? Hay gente muy pesada te lo aseguro. No es un DDoS pero recuerdo cuando tenía el WoM un tipo que se quedaba despierto hasta las 5 de la mañana, todos los días, para hacer algún vídeo diciendo que mira como hackeo y no me banean (estábamos todos durmiendo obviamente).

Al día siguiente lo baneábamos (porque aparecía en logs) y vuelta a empezar. Para el era como una cuestión de orgullo.

Se tiró así años, y acabó programando un bot para el WoM. Ahora está intentando adaptarlo para GF.

Link to comment
Share on other sites

  • 2 years later...

Qué paja, pero ahí les va.

 

No, no es la manera correcta de mitigar un ataque DDoS. nada tiene que ver un web hosting de 5 euros cuándo se tiene bien hardenizado el backend y el frontend con el mismo dedicado VPS. existen los balanceadores de carga, los rate-limits basados en versión de headers, ID's, clusterización de servicios SAN y channelización de WAN . comprar un VPS en OVH NO va a mitigarte todos los ataques porque no todos los ataques funcionan igual.

 

Filtrar tampoco por IP's va a funcionar porque si whitelisteas por direcciones IP y resolución de CIDR's van a poder saltarselo consiguiendo una dirección IP whitelisteada dentro del ASN permitido pudiendo acceder nuevamente al servidor y realizar ataques DDoS desde los propios paises que están en la whitelist y no podrán mitigarlo. ni hablemos de los ataques a memcached que afecta a los procesos del propio VPS atacando al caché. o a layer 3 y 4 por UDP-MIX para bypassear el WAF de OVH, OVH es muy caro para lo que realmente ofrece. está bien que quieran hacer una guía pero documentense bien antes de hacerla. un ataque DDoS NO se para, solo se mitiga.

 

Entiendan que no por comprar o invertirle en "Seguridad" va a ser mejor "Seguridad" si no saben como funciona.

 

Recomendaciones:

 

1- Establecer bien prioridades, si tus recursos son limitados en primera instancia conseguirse un buen CDN y configurarlo para la protección web que contenga algún SaaS e ID's sea Blazingfast, o CDN's gratuitos (Cloudflare), o ni si quiera es necesario el CDN si se puede tunnelizar unos o 2 vps de 5 o 10 euros de linode haciendo un canal GRE-BGP haciendo el respectivo limit-rate a CIDR's que no nos interesan para evitar posibilidad de que algún lammercito decida atacar con alguna dirección IP obligando a atacar desde su propia IP, y si deciden fragmentar los paquetes para bypassear el limit-rate con paquetes pequeños. buscar el tipo de paquete que se está transmitiendo, al puerto, y bannear ese CIDR especificamente.

 

El VPS requiere también su respectiva protección, no pueden andar poniendo dedicados que realmente no necesitan si saben gestionar los bloques de memoria de los VPS, los files y la estructura de ellos. también requieren hardenizar el L3-L4 (El backend de su servidor), si no protegen el backend algún lammer o algún APT puede llegar, sniffear la paquetería TCP que se está transmitiendo y dar con la IP del VPS.

 

¿Qué se debe hacer?

1- Construir un tunel para TCP-Protected, solo requieren 1 VPS o 2 que sirvan de endpoint para el servidor y protega el cliente del juego ya que de esta manera se mostrará el endpoint asignado del TCP-Protected (cosa que se puede hardenizar muchisimo haciendo un tunnel GRE incluso apuntando a los nodos de TOR haciendo que funcione como si fuese una intranet dónde solo los nodos de salida TOR sean los que transmitan sin que te genere mayor problema como si fuese un VPN)

 

2- Hardenizar el SSH mediante port knocking para poder acceder al VPS y generar una private key y public key del tipo de cifrado que quieran para poderse conectar y solo con el port knocking, y la private key puedan acceder al SSH. también tienen el comando sudo, usenlo en vez de estar usando todo en root que luego vienen los problemas cuándo les cargan malware, o les colan un ransomware en los directorios, y les afecten los backups, y los snapshots del VPS o que llegue a escalación de privilegios a root dentro de un dedicado y hasta luego.

 

CDN GRATUITO PARA QUE NO GASTEN DE MÁS EN BLAZINGFAST, POR FAVOR TERRORISTAS:

Debes iniciar sesión para ver el contenido del enlace en esta publicación.
,
Debes iniciar sesión para ver el contenido del enlace en esta publicación.
O EN SU DEFECTO 1 VPS DE 5 EUROS DE LINODE Y CONFIGURALO.

ID's:

Debes iniciar sesión para ver el contenido del enlace en esta publicación.

Recursos de CIDR:

Debes iniciar sesión para ver el contenido del enlace en esta publicación.

Monitoreo de incidencias:

Debes iniciar sesión para ver el contenido del enlace en esta publicación.

Debes iniciar sesión para ver el contenido del enlace en esta publicación.

Documentación sobre pf para freebsd (UNIX)

Debes iniciar sesión para ver el contenido del enlace en esta publicación.

Debes iniciar sesión para ver el contenido del enlace en esta publicación.

¿Cómo ver si he configurado bien mi VPS o mi hosting?, acá podés ver dónde está el endpoint, resolución WHOIS, directorios y funcionamiento del VPS.

Thread Hunting Searching:

Debes iniciar sesión para ver el contenido del enlace en esta publicación.
  -
Debes iniciar sesión para ver el contenido del enlace en esta publicación.

Nodos de salida de TOR:

Debes iniciar sesión para ver el contenido del enlace en esta publicación.

 

Si no sabes que hacer, busca estas palabras y recuerdenme: RTFM.

 

3- Monitorear y usar ID's para automatización de ataques DDoS o vectores de ataque inherentes a radware, tipo MITM mediante evaesdropping, fuerza bruta al SSH, o incluso que intenten bypassear el nodo de conexión del propio proveedor VPS ya que muchos de aquí se dedican al reselling de VPS de OVH y no encapsulan cada máquina en VLAN's independientes y dónde den con el nodo del dedicado. adiós esos servidores que están siendo hosteados por terceros.

 

4- NO USAR SISTEMAS GRATUITOS, CMS, FILES, SCRIPTS DE SUPUESTA MITIGACIÓN CONTRA ATAQUES DDoS (Lo siento Shogun), compren del sitio original o de gente de confianza. lean el socket a dónde apunta el sistema o a qué directorio del sistema operativo requiere funcionamiento y leer el proceso que está haciendo porque muchos sistemas pueden venir con alguna shellcode, backdoor, rootkit, o clavarles un ransomware y no tengan ni idea de dónde está el endpoint del killswitch, pierdan su modelo de negocio con metin. no caigan en scams, primero asesorense)

 

5- Inhabilita los puertos que no vas a usar y si puedes hacerlo cambia el puerto de autenticación o cambialos, hay mil maneras de evitar que utilicen herramientas de scanning para mirar los puertos de tu servidor y deautentiquen tu servidor.

 

Nota: Que te chupe un huevo que vean tus direcciones IP, bien hardenizada tu red, tu VPS, Dedicado, Red de Dominio o tus directorios activos es muy poco probable (y menos en metin que no pasan de los ataques DDoS), puedan realizar algún tipo de ataque.

 

(Les haré un tutorial completo de networking, construcción de su propio WAF y datacenter con poco dinero para que alguno de los que están por acá vuelva a robarse mis guías para publicarla acá, si me bannean daría igual ya que no pertenezco a la comunidad de metin pues les hago un tutorial de como realizar esto BIEN, sin que les salga mas de 40 euros al mes y tener que pagarle al Shogun por horas por cosas que son gratis y que es muy sencillo implementarlas. tiempo y experiencia mis huevos Shogun)

 

Break, aplica lo que dices para el foro. iMixx te ha dejado un mensaje de mi parte. creo que te puede interesar si no pues nada.

 

Y Shogun, deja de ofrecer supuestos ID's y servicios contra protección DDoS si estás diciendo ese tipo de cosas sobre los hostings, nada tiene que ver el hosting. es el sysadmin que lo administra. no podés andar ofreciendo servicios sin que el cliente entienda que es lo que está ocurriendo con su propio servidor y cobrando cosas de más. asesora a tu cliente y no les quites el dinero de esa manera. no les vendas solo la "solución" sin decirles como funciona su solución.

 

A quienes lean esto, un canal de un pana si les interesa ser sysadmins:

Debes iniciar sesión para ver el contenido del enlace en esta publicación.

Atentamente: ~Lyk0s (Daniel Aristizabal) [Cybersecurity Senior / Data Analyst / Sysadmin]

Debes iniciar sesión para ver el contenido del enlace en esta publicación.

Owner/CTO de FoxShell Cybersecurity & Playhost.

Besitos Shogun, don't be a scammer.

bye 🙂

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...