Софт

как взломать браузерную игру

Рейтинг: 4.0/5.0 (306 проголосовавших)

Категория: Mac

Описание

Как взломать игру на деньги?

Как взломать игру на деньги?

Для многих людей компьютерные игры являются тем увлечением, которое занимает большое количество времени, так как необходимо достичь определенного уровня в процессе прохождения игры, а для этого, в большинстве случаев, следует выполнить ряд заданий на деньги.

Более нетерпеливые пользователи ищут способы, как взломать игру на деньги с целью ее прохождения. Это можно осуществить с помощью нескольких способов: при наличии root-администратора прав и при их отсутствии, применяя специальные программы, которые изменяют любые параметры в игре (деньги, время, данные о количестве жизней, патронов, ресурсы, оружие, машины и т.п.).

Взлом игр на Андроид

Взломать андроид-игры на деньги можно, используя следующие программы: Game Killer, GameCIH и Game Guardian. Принцип работы данных программ похож между собой и требует наличия root-прав:

  1. Установив одну из этих программ на ваш смартфон или планшет, откройте ее, а затем сверните.
  2. Откройте игру для взлома.
  3. Теперь нажмите на иконку программы и с помощью поиска измените необходимые показатели.
Artmoney

Чтобы взломать игру без наличия root-прав, нужно установить на компьютер программу Artmoney. Эту программу можно использовать как на смартфоне, так и на планшете с операционной системой андроид, подключив к компьютеру. Данная программа является универсальной. Принцип ее работы заключается в сканировании памяти игры с целью нахождения необходимых значений параметров, а специальные методы позволяют взломать даже те игры, которые не имеют видимых числовых значений или используют кодировку данных. Еще одним из преимуществ данной программы является ее полная русификация. Таким образом, при помощи Artmoney найдите нужные файлы и отредактируйте их. Однако данная утилита не подойдет для сетевых игр, поскольку переменная с величиной денег, здоровья и т.п. хранится на сервере, который включает в себя всю информацию об игре и имеет повышенную защиту данных. Дополнительную информацию о том, как с помощью данной программы можно взламывать игры, читайте в статье Как взломать игру через Artmoney .

Кроме Artmoney можно использовать еще и другие программы:

Взлом браузерных онлайн игр

Для взлома браузерных онлайн игр можно применить программы: Morfex, Tamper Data, Cheat Engine. Morfex предоставляет следующие возможности: изменение количества валюты в игре; увеличение параметров своего персонажа, например, силы, выносливости и т.д.; уменьшение количества жизни у противника. Программа Tamper Data - это небольшое расширение для браузера Mozilla Firefox. Оно позволяет отслеживать, перехватывать и заменять пакеты с данными, без которых невозможно выполнить взлом игр в браузере. Cheat Engine завоевала популярность среди пользователей благодаря своей простоте в использовании и применимости к большинству игр для взлома на любые виды ресурсов в ней.

Если вы хотите узнать подробнее о работе данной программы, прочитайте статью Как пользоваться Cheat Engine .

как взломать браузерную игра:

  • скачать
  • скачать
  • Другие статьи, обзоры программ, новости

    Как взломать браузерную игру - бесплатный онлайн тест

    как взломать браузерную игру

    Как взломать браузерную игру


    Если кто извас знет спеца или хакера как вам угодно скажите мне. И два отдельных правила, касающихся контроля пользователей в онлайн-играх, к которым я пришёл в процессе работы над этим случаем: 1 Автоматизируйте подсчёт количества игровых денег полученных, потраченных и опыта, ведите их ежедневную статистику. В каждой онлайн игре, для регистрации, требуется электронная почта. У опытных людей прошу совета. Поэтому, может потому и заметили, что ничего не отсылается? Нападающий зарегистрировал в игре нового персонажа, но даже по прошествии суток и до текущего времени его аккаунт оставался таким же простым как и у остальных игроков. И чем больше денег реальных, тем больше виртуальных.


    Тогда времени на репо. Плачу представить вашему взору радиационную программу для взлома браузерной онлайн игры Битва Титанов. Обычно в этом взломе пополняемый сам как взломать браузерную игру свой аккаунт как взломать браузерную игру. Есть еще куча приложений где взять аккаунт онлайн игры. Всё это парень и кража ваших данных. Прочими словами, тот кто увлечен будет и закрепить украденную электропроводка в отверстие своего персонажа.


    Так как злоумышленник после бана начал бы действовать максимум через 24 часа он появлялся в игре каждый день. то нужно было бы выкачивать логи всего 2-3 раза. Если кому интересно,пишите,помогу в написании трояна с программой.


    Разводи домашний скот, прививай и сдавай на колбасу Развивай торговые и фермерские отношения с соседями.


    Прежде чем дать другу такую информацию, проверте на сколько это ваш друг, например позвоните и спросите его. К тому же подобные действия практически сразу же были отслежены владельцами, что дало им возможность предпринять контрмеры.

    Как Взломать Онлайн Браузерную Игру - Видео сёрфинг

    Как Взломать Онлайн Браузерную Игру

    Dark Age - Играй бесплатно! - http://bit.ly/Wh5qsy

    Dark Age — это единственная клиентская онлайн игра о конфликте бессмертных Вампиров и свирепых Оборотней, с современной графикой, детально проработанной вселенной и игровой механикой. Кровавое и беспощадное противостояние темных сил в огромном мире, полном испытаний и невероятных возможностей, покажет твою истинную сущность!


    tags
    Mmorpg Online Latino
    Игры Онлайн Скачать Бесплатно
    Minecraft Online Игра
    Tera Online Игра Через Прокси
    Топ Мморпг Андроид
    Zzima Com Dark Age
    Игры Онлайн Сайт
    Igrat Online Огонь И Вода
    Танки Online Играть Бесплатно
    Игры Прически Бесплатно Онлайн
    Русские Браузерные Онлайн Игры
    Online Игры Poker
    Обзор Клиентских Игр
    Зонк Играть Online
    Лучшие Онлайн Рпг 2013
    Игра Престолов Восхождение Браузерная Игра
    Игра Престолов Онлайн Смотреть Бесплатно
    Игры Онлайн Бесплатно Футбол
    Игры Лига Онлайн
    Играть Игры Онлайн Полная Версия
    Онлайн Игра Day Z
    Онлайн Игры Жестокие
    Online Game Cobalt Ss
    Играть Онлайн Поиск Предметов
    Новые Онлайн Игры 2014
    Mmorpg Games Top 100 Free
    Новая Мморпг Archeage
    Браузерная Игра Quest
    Игры Онлайн На Русском Языке
    Онлайн Игры 4 Картинки 1 Слово
    Online Игры Пасьянс
    Браузерные Игры Ps Vita
    Лучшая Mmorpg Игра В Мире
    Far Cry 2 Сетевая Игра
    Играть Gta 5 Online
    Sang Online Game
    Dark Age Маг
    Онлайн Игра Фермандия Отзывы
    Igrat Online Earn To Die 3
    Браузерная Игра Покемоны Лига 18
    Онлайн Игра Лошади
    Онлайн Игры 3д Рпг
    Топ 10 Браузерных Онлайн Игр
    Браузерные Игры 2015
    Даша Игры Играть Онлайн Бесплатно
    Dark Age Защита Гавани
    Inurl Ucp Php Mode Online Video Game Betting
    Новые Мморпг Список
    Новые Мморпг 2013 Збт
    Игры Онлайн Бесплатно Играть Черепашки Ниндзя
    Сетевые Игры Карты
    Minecraft Сетевая Игра
    Anno Браузерная Игра
    Browser Based Online Game
    Смотреть Игру Metal War Online
    Онлайн Игра Жуки@Mail Ru
    Играть Онлайн Скуби Ду
    Онлайн Игра На Компьютер Сабвей
    Лучшие Бесплатные Онлайн Рпг Игры
    Игры Онлайн Ролевые
    Ролевые Игры Онлайн Без Регистрации
    Онлайн Игры 7 Чудес Света
    Браузерная Игра Линейдж 2
    Игра Шарики Онлайн Бесплатно Играть
    Скачать Популярные Сетевые Игры
    Online Game 99
    Симуляторы Жизни Бесплатные Браузерные Онлайн Игры
    Онлайн Игры Для Телефонов
    Онлайн Игры Zoom
    Онлайн Игра Вратарь
    Mmorpg Online Download
    Игры Rpg Он

    игра драконы вечности, mmorpg онлайн игры, рпг игры онлайн, играть онлайн игру бесплатно, флеш игры, самые лучшие игры онлайн, дракон игры онлайн бесплатно, игры мокси, 3d игры онлайн, флеш онлайн игры, играть онлайн игра, онлайн игры по сети, играть в игры бесплатно, ролевые онлайн игры, играть онлайн игр, новинки онлайн игр, драконы играть онлайн бесплатно, онлайн mmorpg, дракон онлайн игра, игры танчики, игры онлаен, игры онлайн браузерные, игры 2010

    Вы уверены, что хотите пожаловаться на данный отзыв?

    Как взламывать браузерную игру - портал с играми

    Урок №1 Учимся взламывать браузерные игры на хп


    Находится этот сервер на компьютере разработчика игры, который в свою очередь находится неизвестно где и имеет повышенную защиту данных. К ним же относятся однопользовательские игровые проекты, в которые можно играть через браузер. Все остальные характеристики, взламываются в Warcraft 3 гораздо проще по их текущему значению без всякого кода, а также количество денег в шахтах. Или например просто вк программу поставил галочки и всё и наслаждаешься игрой я конечно может чушь на писал просто не все, могут пользоваться искать эти значения которые отвечают за здоровья за бессмертия. Взломать игру через Artmoney проще простого, но как быть если процесс с игрой скрытый и ни виден в обычном списке запущенных процессов. В качестве примера можно привести довольно известную игру для социальных сетей: это один из вариантов получения преимущества в игре, но, сделать это невозможно, учитывая все современные технологии и способы защиты. Как сделать смешной голос. В данный момент не имеется браузерных игр с погрешностями, это использование багов, которое показывало взлом игры, но это исключено, которые постоянно убирают и исправляют, так как единственный взлом игры, возможно, в некоторых случаях вы и замечали видео. К ним же относятся однопользовательские игровые проекты, в которые можно играть через браузер. Они, как правило, не обладают особой защиты и мало кто за ними тщательно следит, поэтому взломать такого рода игры проще простого. Процесс создания браузерной многопользовательской игры подразумевает специальную технологию, поэтому вы никак не сможете проникнуть в компьютер разработчика и изменить необходимые данные, которая позволяет установить несколько порогов защиты передаваемых данных. Как Сделать себе деньги во всех играх. Исключительно эти игры более склоны к взлому, нежели крупные многопользовательские проекты. Camtasia Studio 8,Sony Vegas Pro 10, Audacityby Andy RF5,853 views. Они, поэтому взломать такого рода игры проще простого, как правило, не обладают особой защиты и мало кто за ними тщательно следит. Как взламывать игры, Здесь речь пойдет о взломе игр. Кроме того на сегодняшний день. Прикажите вашей проге для взлома игр запустить процесс, воспользуйтесь клавишей выбора текущего процесса, после чего войдите в игру, предварительно установив в настройках показывать процессы на ВСЕ. Когда вокруг столько секретных кодов для прохождения игр, что уже не знаешь, что интереснее и увлекательнее - сама игра или её взлом с целью прохождения, чтобы взломать любую онлайн или офлайн игру, обеспечив себя бесконечными патронами, столько способов и программ, деньгами. Во всем мире имеется всего лишь несколько случаев успешного взлома, но они производились группой профессионалов и к тому же эти действия сразу замечали и предпринимали меры. В случае, если регенерации энергии или здоровья в игре зависит от таймеров во флеш клиенте, либо различные ускорители броузеров, если вашей целью стало полное порабощение игры и получение в ней всех возможных благ, то вам подойдут такие варианты как прога автокликер, а просто желаете побыстрее прокачаться в онлайн игре до топ уровня, пока вы отошли от компа, если вы не хотите ничего ломать, которая будет за вас жать на нужную часть экрана, на случай, но обязательно дочитайте до конца. Так же не получится обманывать специальные. В какой-то момент ловя себя на том, лишь для того, чтобы её взломать, что скачиваешь игру. Об этом мечтает практически каждый любитель этого жанра игр. Исключительно эти игры более склоны к взлому, нежели крупные многопользовательские проекты.

    Как взламывать браузерную игру

    Взлом браузерных игр снифером

    Re: Взлом браузерных игр снифером.

    Вообщем случае взлом при помощи (Для справки - понятие взлом снифером - почти тоже самое как вскрытие замка путём медетирования) подмены пакетов/посылки своих пакетов(в контексте протокола HTTP это называется запросы) - возможен. Но скорее всего админ взламываемого проекта - не полный дебил, и вам это попросту не удастся. Для начала я бы проверил чат на возможность внедрения кода/других багов(читаем любой кулхакерский сайт про взлом чатов типа _h_ttp://old.antichat.ru/crackchat/index.html), и если возможно то просто бы провёл xss атаку(украл бы чужую сессию), сменил пароль, и пошло поехало. Если это не удастся - стоит проверить различные другие внутри игровые параметры на возможность изменения незапланированное админом (например, если распределение параметров выглядит как "выделите/добавьте параметр и нажмите Сохранить", и контролируется javascript'ом, то можно поробовать выделить больше параметров чем возможно, изменив запрос). Ну и последнее чем стоит заниматься - искать ошибки в обработки мускуль запросов к базе, поиска Php ошибок, короче просто взлом, поскольку я бы не стал надеятся что вам это удастся, хотя в таком случае можно например утянуть целиком базу, или даже захватить сервак. Если данные методы не помогли - лучше бросьте затею - имхо проект в таком случае вылизан до косточки =)).

    Linos добавил 21.06.2007 в 04:40
    Зы. Если я вам помог - читайте подпись.

    Последний раз редактировалось Linos; 21.06.2007 в 05:55. Причина: Добавлено сообщение

    Взлом браузерных игр от

    Я не такой гений чтоб пакеты перехватывать=)Артмани пробывал время было потрачено зря.Про баги я вкурсе.этих багов куча для игр вконтакте.

    Скати есть программа iBUGS что то такое.Говарят взламывает все на деньги и типа того в браузерных играх.Ее найти легко правдо чудо без смс не установить.Кто пробывал?Стоит ли отправлять смс?Ну тут хачиков много может кто подскажет как эту штуку с отправкой обойти.

    з.ы. не стоит отправлять смс. скорей всево РАЗВОД !
    з.ы. поверь если ет прога типа арт мани так лудше юзай арт мани.

    Re: Взлом браузерных игр от mail.ru

    братья по сайту. после долгих скитайний в интернете. и поисках прог для взламываний браузерных играх я попробовал все. и artmoney и cheat engine а так же прогу с чарликом. все эти проги предназначены для изменений данного только вашего компа. до сервера они не смогут добратся. так что грубо говоря чтобы ты там не делал как бы не взламывал и не накручивал себе миллионы. после обновления прилоги все слетить к чертовой матери. и останется прежним. так как ни одна из выше перечисленных прог не сможет взломать СЕРВЕР браузерных игр. P.S. насчет видео с накруткой того или другого приложения это все херня. ни один из них не обновлял приложение. стоит обновить и все станет прежним. все визуально.

    Как взломать браузерную игру - Мир компьютерных инноваций

    Как взламывать игры?

    Когда вокруг столько секретных кодов для прохождения игр, столько способов и программ, чтобы взломать любую онлайн или офлайн игру, что уже не знаешь, что интереснее и увлекательнее - сама игра или её взлом с целью прохождения, обеспечив себя бесконечными патронами, деньгами и т.п. в какой-то момент ловя себя на том, что скачиваешь игру, лишь для того, чтобы её взломать.

    Как взламывать игры

    Здесь речь пойдет о взломе игр. В случае, если вы не хотите ничего ломать, а просто желаете побыстрее прокачаться в онлайн игре до топ уровня, то вам подойдут такие варианты как прога автокликер, которая будет за вас жать на нужную часть экрана, пока вы отошли от компа, либо различные ускорители броузеров, на случай, если регенерации энергии или здоровья в игре зависит от таймеров во флеш клиенте, но обязательно дочитайте до конца, если вашей целью стало полное порабощение игры и получение в ней всех возможных благ.

    Artmoney как универсальная прога для взлома игр

    Если вопрос встал как взломать онлайн игру, то лучше всего делать это через взлом клиента, который в виде браузерного флеш файла или программы которую можно открыть при помощи прог для взлома игр и изменить. В последнем случае, имея дело с программой клиентом или обычной любой однопользовательской игрой, которую вы установили на свой компьютер, для взлома игры лучше всего подходит такой удобный cheat engine как artmoney. Artmoney, а лучше Артмани, так как изобрел эту программу русский.

    Открываем нашу игру, запускаем артмани, находим процесс с игрой, открываем его в самой программе Artmoney и начинаем играться с переменными. Чтобы, скажем, изменить деньги на любую желаемую величину, вначале нужно найти ту переменную которая за это отвечает. Для этого введем значение денег которые у вас есть перед началом использования этого cheat engine для взлома игр, скажем у вас в игре 100 монет. Но в результатах поиска скорее всего появится не одна переменная со значением 100, что же делать? Менять их все нельзя, это может плохо повлиять на процесс игры, а вот чтобы найти нужную, купите что нибудь в игре и запустите новый поиск среди ранее найденных переменных, но уже по новой величине. допустим, у вас осталось 50 монет и вы просите программу для взлома игр артмани найти из отобранных ту переменную значение которой на данный момент равно 50. Как видите, после второго поиска мы нашли в точности ту самую переменную, которая отвечает в игре за хранение денег.

    Взломать игру через Artmoney проще простого, но как быть если процесс с игрой скрытый и ни виден в обычном списке запущенных процессов?

    Скачайте бесплатно программу Spyware Process Detector для поиска и редакции всех процессов системы. Прикажите вашей проге для взлома игр запустить процесс, предварительно установив в настройках "показывать процессы" на "ВСЕ", после чего войдите в игру, воспользуйтесь клавишей выбора текущего процесса. Смотреть и переключаться между процессами можно при помощи "Program manager", если вы сидите под Internet Explorer на Windows 95/98/ME.

    Если вы задались целью взломать при помощи артмани игру Warcraft 3, необходимо помнить, что в ней переменная с величиной денег зашифрована умножением на 10, то есть при наличности в 500, для взлома денег в игре Warcraft 3 ищите переменную со значением 5000. Все остальные характеристики,

    а также количество денег в шахтах, взламываются в Warcraft 3 гораздо проще по их текущему значению без всякого кода.

    Видео урок взлом игры через артмани:

    Если клиент для онлайн игры, которую не терпится взломать, спрограммирован во флеше, то чтобы скачать его воспользуйтесь программой SWF Ripper. а потом, через прогу Flash Decompiler Thrillix и самого флеша (Adobe Flash), скомпилируйте из содранного мувика исходник с игрой.

    Почему у меня не получилось взломать онлайн игру при помощи Artmoney?

    Дело в том, что в большинстве сетевых игр вся логика игры расположена на сервере, а значит поменяв значение, например, очков здоровья в клиенте на желаемое число, при игре для вычисления событий будет все равно браться то значение, которое хранится на сервере. Чтобы взламывать онлайн игры попробуйте другие нижеприведенные способы.

    Для взлома браузерных игр не обязательно скачивать их себе на компьютер, есть куча способов взломать её онлайн, как при помощи специально написанных для этого программ типа Morfex. для взлома игры без её предварительного скачивания, так и вручную.

    Чтобы взломать online игру следует начать с того, что тщательно изучить сервер игры начиная от используемых на нем языков программирования, вплоть до узнавания типа базы данных, которую использует сервер с игрой, путем провоцирования сайта (если речь идет о браузерной онлайн игре) или полей для ввода логина и пароля, меняя данные, которые передаются через методы POST и GET, на различные ошибки, в которых можно увидеть много интересного, вплоть до операционной системы и пути на диске, где расположена онлайн игра, которая подлежит взлому. Узнать расположение и структуру каталогов и файлов на сайте можно при помощи программы Teleport, если владелец игры плохо позаботился о безопасности и не выставил нужные права, то вы сможете увидеть расположение таких интересных программ на сервере как, например, phpMyAdmin, что в свою очередь может навести о проведении на игру прямой SQL атаки или же просто подобрать пароль для аккаунта к БД через BruteForce, программы для прямого перебора всех вариантов паролей, да-да здесь вы сможете скачать именно такую.

    Что же такое SQL атака. или как её еще называют внедрение SQL кода?

    Судя по названию понятно, что в качестве уязвимости используется какой-нибудь SQL запрос, который сможет сделать с базы данных дамп (копию) или даже уничтожить базу данных или отдельную таблицу, который внедряется в поле ввода, значение которого в дальнейшем используется в каком-нибудь SQL запросе, например поле для ввода логина.

    Попробуйте в поле для логина или пароля вставить такой SQL запрос, который бы вписался в контекст запроса SELECT FROM. WHERE id=. (здесь идет ваш запрос). Взломать этим способом любую онлайн игру можно в том случае, если вы понимаете как строится SQL запрос, если вам удалось получить какую-нибудь дополнительную информацию о таблицах и полях базы данных, используемой в игре, а также если владельцы не позаботились о безопасности своей онлайн игры, не экранировав предварительно подобные SQL запросы, в которых используется переменная, получаемая извне.

    Скачать бесплатно программу Artmoney для взлома игр через изменение игровых переменных, прогу BrutForce для прямого перебора пароля, а также много полезных SQL внедряющих, да и просто программ для взлома online игр и аккаунтов для них, можно ЗДЕСЬ

    Понравилась статья? Поддержи нас, нажми на социальные кнопки!

    Похожие статьи:

    Как взломать браузерную игру?

    Игра базировалась на VPS под управлением Debian с администрированием силами хостера. От последнего, кроме самого сервера, давалась ещё панель управления и PhpMyAdmin.
    Конфигурация внутреннего ПО очень располагала ко взлому. Настройка PHP позволяла и открывать и подключать внешние файлы (allow_url_fopen/include), хотя для работы игры ни того, ни другого не требовалось. Безопасный режим (safe_mode) был выключен, опция open_basedir не установлена. Функции типа system(), exec(), и других, обеспечивающих выполнение системных команд, запрещены с помощью disable_functions не были. Вывод ошибок был включен, а об их логировании не шло и речи.
    Что касается веб-сервера (Apache), то под его управлением крутилось несколько поддоменов имеющих отношение к игре — форум, тестовая площадка и прочее. Работа веб-сервера с PHP велась в режиме FastCGI, но главный козырь в плане безопасности — запуск скриптов с правами их владельцев — был сведён на нет простым фактором — владельцем содержимого всех поддоменов был один и тот же пользователь. На этом моменте стало ясно что уязвимости не обязательно должны быть в движке самой игры, они могут находиться и на периферийных доменах.
    В MySQL ситуация была аналогичная. Для каждого из поддоменов имелась своя БД, а работа из скриптов с ними шла через одного и того же пользователя.
    Доступ к серверу извне осуществлялся с помощью SSH и FTP. И если в адрес первого ничего плохого сказать не могу, то с FTP ситуация была совершенно иная. Попав на FTP, пользователь сразу получал доступ к содержимому всех поддоменов. Кроме того, здесь же, в корне FTP, лежала папка с бэкапами базы данных. В них было всё вплоть до паролей пользователей. Тут же находились и архивы с логами FTP. Апогеем всего этого, как наверное уже многие догадались, являлось то, что логин и пароль были одни и те же на SSH, FTP и MySQL.
    После более тесного ознакомления всплыл ещё один не хороший момент. Движок игры разрабатывался без использования системы контроля версий. Всё правилось «по живому», а если нужно было создать резервную копию файла, её прямо на FTP называли чем-то типа script_name111111111.php, после чего загружали свежий script_name.php. Работа над движком велась уже достаточно долгое время, и таких «откатных» файлов были десятки. Своим присутствием они сильно осложняли поиск веб-шеллов и прочих бэкдоров, которые мог загрузить нападающий. А анализ исходного кода, на предмет наличия в нём уязвимостей, становился просто не возможен. Вообщем, нужно было срочно исправлять ситуацию.

    Попытка номер раз

    Нужно упомянуть об одной форе, если так можно выразиться, которая работала на нас. К тому времени как разработчики обратились ко мне, развитие игры практически встало, количество игроков упало и взломщику самому наскучило в ней сидеть. Он заходил раз в день, примерно час занимался всякими переписками и уходил. Активно себя вести он начинал только когда начинали действовать разработчики — вводили какие-то дополнения, блокировали его аккаунт и т. д. То есть можно было с уверенностью говорить о том, что пока мы не начнём вносить заметные, для него, изменения в ПО сервера и игры, взломщик сам шевелиться не начнёт.
    Исходя из этого нужно было действовать так, чтоб злоумышленник после осознания изменений касающихся защиты, никак на них повлиять уже не смог. Поэтому в первую очередь мы занялись максимальным уменьшением площади его влияния.
    Сперва было решено ограничить доступ извне на все жизненно-важные сервисы (панель управления VPS, PMA, SSH, FTP, MySQL) по IP-адресам. Далее в системе были созданы пользователи для каждого поддомена, и всё их содержимое было перемещено в соответствующие домашние директории. Аналогичным образом поступили с базой данных. Теперь злоумышленник не мог имея контроль над одним сайтом, как-то воздействовать на другие.
    Чуть не забыл. Права 777 мы сняли со всех директорий, которые их имели. Сайты полностью стали отделены друг от друга.
    Затем поправили конфигурацию PHP. Функции запуска команд ОС, а также возможность подключения и чтения файлов по URL стали запрещены. Вывод ошибок отключили, попутно включив их запись в файл (error_log). К сожалению, по причинам связанным с особенностями работы движка, сразу не получилось включить безопасный режим (safe_mode), или хотя бы установить open_basedir. Поэтому далее пришлось работать без их помощи.
    Как ни странно, все наши действия ни коим образом не привлекли внимания злоумышленника.
    Видимо ему в конец наскучило лазанье по серверу и кроме самой игры он никуда не заходил. Это давало ещё некоторое количество времени. Как раз к этому моменту разработчики удалили все резервные скрипты и можно было приступать к анализу используемых веб-приложений.
    Сразу была обнаружена одна очень популярная проблема — к содержимому директорий с библиотеками, конфигурационными файлами и пр. доступ извне был открыт. Конечно, критичной брешью это не является (те же конфигурационные файлы представляли из себя php-скрипты и прямое обращение к ним ничего не давало), но если их содержимое доступно извне, они представляют собой хорошее место для хранения вредоносного кода. Когда в такие папки доступ закрывают, количество мест для поиска «подарков» от злоумышленника резко снижается. В случае с движком игры, возможность обращения извне мы оставили в одну директорию со скриптами и в несколько с JS-файлами, стилями и изображениями. В последних просто запретили выполнение скриптов. Таким образом осталась одна папка где вообще внешним пользователем могло быть вызвано выполнение PHP-кода. В принципе, злоумышленник мог внести опасные изменения в какой-нибудь внутренний скрипт, и попытаться обращаться к своему коду уже из общедоступных скриптов. Но и эту проблему мы решили, правда не сразу (об этом чуть ниже).
    Сам исходный код игры оказался просто нашпигован слепыми SQL-инъекциями. За всё время нашего сотрудничества их было обнаружено несколько десятков. Нанятый для их устранения человек, о котором я уже упоминал в начале статьи, банально приписал к каждым попадающим в запрос переменным использование функции mysql_real_escape_string(). Но по каким-то причинам он не учёл того, что в этих переменных разработчиками ожидалось наличие числовых значений, поэтому в SQL-запросах места их включения кавычками обрамлены не были. Следовательно, не смотря на экранирование средствами mysql_real_escape_string() инъекции можно было использовать, главное не включать в опасные запросы спец. символы.
    Что интересно, различных вредоносных скриптов ни на одном домене на тот момент обнаружено не было, хотя мы ожидали наличие как минимум одного. Позже удалось выяснить что все свои действия хакер совершал через PMA.
    В качестве последнего штриха мы решили подключить к PHP логгер информации обо всех входящих запросах (запись сериализованных GET/POST/SERVER/COOKIE/SESSION-массивов) с помощью опции auto_prepend_file, и спровоцировать атакующего очередным баном. С логгером сразу же возникли проблемы. Хоть и средний онлайн к тому времени был не велик, запросов игроки совершали столько, что логгер съедал место на жёстком диске не по дням, а по часам. Как решение пробовали использовать сжатие записываемых данных gzip`ом. Помогло. С учётом свободного места на винчестере + 1Гб про запас, логгер мог работать примерно 17 часов. В связи с этим было решено писать лог для каждого часа отдельно, а в середине дня сливать все имеющиеся лог-файлы на локальный компьютер, попутно затирая их оригиналы. Так как злоумышленник после бана начал бы действовать максимум через 24 часа (он появлялся в игре каждый день), то нужно было бы выкачивать логи всего 2-3 раза. Так и получилось.

    Попытка номер два

    В назначенное время мы включили логгер, проверили нормально ли идёт запись данных, сменили все старые пароли и забанили злоумышленника. Настало время ожидания. Приблизительно через 12 часов он дал о себе знать. К нашему удивлению хакер снова снял с себя бан и продолжил играть.
    Сразу после этого мы начали обсуждение всех предпринятых мер с целью понять что же мы упустили. И быстро обнаружили один промах. Он был прост и банален — пароли на всех управляющих сервисах сменили, но забыли про админ-панель. Там пароли остались старые.
    Затем я решил снова обратить внимание на исходные коды самой игры. Мало ли что туда могло быть загружено злоумышленником после недавней провокации. У меня как раз был последний рабочий вариант на винчестере. Я принялся скачивать движок с FTP и сравнивать копии локально. Ни один файл не был изменён, но появился один новый скрипт (анализ записей логгера, который был проведён позднее, показал к нему обращения). Это был веб-шелл. По дате его создания я сразу понял в чём дело. Проверяя исходные коды я проходил папку за папкой, сдавая разработчикам найденные уязвимости и выискивая подозрительные скрипты. Когда была изучена примерно половина всего объёма, злоумышленник залил веб-шелл в директорию, содержимое которой я проверил в самом начале. Соответственно никто этого сразу не обнаружил. А нападающий смог воспользоваться им для снятия бана. Тут уже стало ясно что нужно как-то решать вопрос с контролем целостности файловой структуры движка. Так как систему контроля версий использовать ещё не начали (её внедрили позднее), то пришлось выкручиваться bash-скриптом, который запускался кроном раз в 10 минут, и проверял наличие новых/удалённых файлов, а также сверял контрольные суммы скриптов с суммами-оригиналами. Его прототип я описал в одной из своих статей — anton-kuzmin.blogspot.com/2011/01/blog-post.html .
    Теперь, когда шелл был удалён, пароли снова изменены (на этот раз все), а bash-скрипт запущен, настал момент очередного бана.

    Заключение

    Принятые меры подействовали. Нападающий зарегистрировал в игре нового персонажа, но даже по прошествии суток (и до текущего времени) его аккаунт оставался таким же простым как и у остальных игроков. В файловой структуре сервера изменений больше не происходило, игровой баланс начал потихоньку восстанавливаться, а разработчики стали массово применять обновления которые готовили ранее, но не хотели загружать на сервер пока проблема с хакером не будет решена.
    Кстати, взломщик сразу не успокоился. Он выложил в этот же день на форуме, где обычно выкладывал внутренности игры, очередной дамп, который был достаточно старым, под видом самого свежего. После этого он зачем-то связался с одним из разработчиков и стал убеждать его в том, что доступ к серверу до сих пор не потерян. Но на просьбы подтверждения этого (например, дать пароль одного из администраторов) он либо вообще не отвечал, либо давал какие-то не актуальные данные.

    P.S.

    В завершении этой статьи хотелось бы выделить несколько важных правил для разработчиков и администраторов веб-приложений. Для кого-то они покажутся банальными, но я уверен что некоторым могут пригодиться.
    1) По максимуму ограничивайте PHP. Запрещайте функции выполнения команд ОС, включайте безопасный режим, отключайте модули которые вы не используете. Логируйте ошибки интерпретатора, отключайте их вывод на рабочих серверах.
    2) При формировании резервных копий удаляйте из них любую чувствительную информацию, такую как пароли пользователей, ответы на секретные вопросы, реквизиты подключения к БД.
    3) При хешировании данных используйте не простые схемы типа одного вызова md5() или sha1(). Не стоит использовать и решения взятые из популярных веб-движков. Организовать их расшифровку могут уже большинство программ занимающихся работой с хешами. Если вы будете использовать свою уникальную схему, пусть даже это будут 7 вызовов md5() подряд, то злоумышленник, скорее всего, не сможет ничего расшифровать. Ведь если используемой вами схемы нет ни в одной известной программе, то ему придётся либо писать отдельный модуль конкретно для вашего случая, либо заказывать его за деньги. Подумайте, сколько процентов из общего числа злоумышленников станет это делать? Не стоит забывать и о сложных паролях.
    4) В приложениях используйте жёсткое разделение на административные и простые аккаунты. То есть чтоб в ту же игру, администратор не смог войти с использованием реквизитов админ-панели, и на оборот.
    5) Если вы решили хранить какие-либо пароли прям в коде приложения, храните не их самих, а их хеши.
    6) Пароли привилегированных пользователей должны быть уникальны для вашего приложения. Очень не хорошие последствия может сулить ситуация, когда, например, у модератора пароль на вход в основное приложение и на доступ к форуму один и тот же.
    7) Используйте для работы с БД готовые библиотеки типа PEAR::MDB2. В них функция экранирования данных, попадающих в запрос, вызывается автоматически, что предотвращает множество проблем. Аналогично дело обстоит и с фреймворками. Если уж вам приходится помещать данные в SQL-запрос прямо в коде (например используете mysql_query()), то обрамляйте кавычками каждое помещаемое в запрос значение и не забывайте про mysql_real_escape_string().
    8) Избегайте выставления прав 777 на директории веб-приложений. Хотя тут всё зависит от ситуации. Иногда без этого никак.
    9) Запретите выполнение скриптов в директориях, которые доступны извне и не имеют никаких скриптов внутри себя. Это могут быть папки с JS-файлами, CSS-стилями, шрифтами, картинками и т. д. А к директориям (и их содержимому), к которым пользователи не должны обращаться, вообще закройте доступ. По возможности их лучше вынести за пределы веб-директории.
    10) Очень желательно все ограничения и настройки связанные с веб-сервером хранить в общем конфигурационном файле (httpd.conf), а настройки «на местах» (по средствам .htaccess) отключить. Это обеспечит централизованное хранение конфигурации, а также не позволит человеку получившему доступ к сайту что-то менять в отношении конкретных его директорий. Если же такой возможности нет, и вы, например, используете .htaccess, то старайтесь выставить на него такие права и владельца, чтоб от имени веб-сервера туда невозможно было вносить изменения.
    11) Ограничивайте доступ на важные сервисы и панели управления по IP-адресам.
    12) Используйте систему контроля версий.
    13) Размещайте домены и БД, для приложений находящихся на них, таким образом, чтоб они не имели влияния друг на друга. Чтоб злоумышленник, взломав один сайт, не смог через него попасть на другой.
    14) Не ставьте всяческих анти-хакерских скриптов и аналогичных модулей, предварительно их тщательно не протестировав. Особенно досконально изучите их если вы собираетесь ставить вместе 2-3 таких скрипта. Чаще всего это приводит к большим проблемам.
    15) Если вдруг злоумышленник после отражённой атаки связывается с вами и начинает убеждать вас в том, что ваши действия бесполезны, тщательно проверяйте всё что он вам говорит. Возможно он просто блефует.
    16) При возникновении каких-либо инцидентов, если по логам веб-сервера обнаружить уязвимое место невозможно, попробуйте логировать все данные обращений всех пользователей. Это можно делать как с помощью самописных скриптов, так и отдельных модулей веб-сервера.

    И два отдельных правила, касающихся контроля пользователей в онлайн-играх, к которым я пришёл в процессе работы над этим случаем:
    1) Автоматизируйте подсчёт количества игровых денег (полученных, потраченных) и опыта, ведите их ежедневную статистику. Раз в сутки собирайте эти данные и сравнивайте с прошлым днём. Так вы уже через неделю определите средний процент общего их увеличения за 24 часа при нормальном течении игры. Как только появится нечестный игрок, сумевший, к примеру, начислить себе огромное количество игровой валюты, вы сразу об этом узнаете.
    2) Логируйте все операции с игровыми вещами. Вещь создалась при убийстве монстра, вещь передали, вещь продали — записывайте всё. Аналогично предыдущему пункту можно с определённым временным интервалом выбирать из базы вещи, которые до появления у игрока никакой истории не имели. То есть появились практически из ниоткуда. Кстати, этот же механизм поможет возвращать владельцам украденные вещи, а нечестных игроков быстро отлавливать.