ncsSpawN

http://joxi.ru/D2P3b4gIdwZ7km

Много раз поднимался этот вопрос, но так и не нашлось не одного человека который смог бы подтвердить что его сервер взломали через шел и было куча донок.

 

А вот на это не кто не обращает внимание.

http://joxi.ru/v29Xj4RTG4DdOm

 

Главное что все белые и пушистые, а когда в сборке бекдор от разработчика сразу пыл приутихает.

У меня есть сборки какие я сейчас использую, хочу перейти к разработке сервера малых рейтов и вижу что те что есть не полностью мне подходят.

А второе - посмотрите название темы и все поймете.

http://l2code.ru/

Стоимость ежемесячной платы 40$.

Для теста предоставляем сборку с ограничением в 20 онлайн, архив доступен в личном кабинете http://lk.l2code.ru/.

Также по вопросам касательно продукта l2code, доступен icq 455578898.

Задался делемой видел на серверах интерлюда где стоит смарт, переход с клиента на сайт, тоже захотелось даную "фитчу".

Может кому то тоже понадобится.

 

package net.sf.l2j.gameserver.network.serverpackets;

 

 

public class DirectUrl extends L2GameServerPacket {

 

public String _URL = "http://l2top.ru/vote/30368/";

 

 

@@override

protected void writeImpl() {

writeC(0xFF);

writeC(0x03);

writeS(_URL);

}

}

 

после, залепили байпасс

if (_command.startsWith("site"))

{

player.sendPacket(new DirectUrl());

}

 

Готово

Можно через свою длл хукать пакет с байпасом, и определять урл это или байпас и без смарта.

Методов куча, но вот 100-250 я не увидел реализации. А вдруг что то изменится из-за этих 100-250

Ну накиньте пример, решим вашу задачу, можно сделать синхронизацию.

Чем к примеру не подойдет ConcurrentHashMap?

Методов то куча, но смотря какой из них в какой ситуации более эффективен и уместен будет.

Вот в чем вопрос.

там их 300 штук, и все четные. Я хочу 100-250. Четные, не четные.

Так в чем проблема написать свой рандум идов для удаления?

Задача же была вроде как безопасное удаление с HeshMap списка, это можно сделать добавив нужные иды в keys.

А если нужен рандум то просто переписать условие if(keys.contains()) добавив рандум. Либо создать генератор рандума для keys.

Это уже дело фантазии.

Просто думал может есть какой ещё лучше метод удаления с хешмапа масив с идами, то было бы интересно посмотреть.

 

Мешать нельзя. Я хочу 100-250 штук, не в том порядке что в мапе записаны.

Это же в каком законе такое прописано что перемешивать нельзя?

 

Collections.shuffle(keys); //мешаем наш список идов

В итоге мы просто переберем весь список(map) и сравним каждый ид с тем что есть в списке(keys) идов игроков. А затем удалим нужные иды со списка (map), но это не чего не изменит так как мы все равно сравниваем через keys.contains() весь список map.

Так что в любом случаи если перемешать map или keys то мы получим тотже самый результат.

Будут удалены со списка map игроки с идами со списка keys.

 

		int counts = 600; 
		
		HashMap<Integer, String> map = new HashMap<Integer, String>();
		ConcurrentHashMap<Integer, String> conmap = new ConcurrentHashMap<Integer, String>();
		ArrayList<Integer> keys = new ArrayList<Integer>();
		for(int i=1;i<=counts;i++)
		{
			map.put(i,"Текст "+i);
			conmap.put(i,"Текст "+i);
			if((i%2)==0) //все четные числа до counts
			{
				keys.add(i); 
			}
		}

		//Перемешиваем
		Collections.shuffle(keys);

		//HashMap
		long start_time = new GregorianCalendar().getTimeInMillis();
		for(Iterator<Map.Entry<Integer, String>> it = map.entrySet().iterator(); it.hasNext(); ) 
		{
			Map.Entry<Integer, String> entry = it.next();
			if(keys.contains(entry.getKey()))
			{
				it.remove();
			}
		}
		long finish_time = new GregorianCalendar().getTimeInMillis();
		System.out.println("Time HashMap: "+(finish_time - start_time)+"ms "+ map.size()+ "size");
		
		//ConcurrentHashMap
		start_time = new GregorianCalendar().getTimeInMillis();
		for(Map.Entry<Integer, String> it :  conmap.entrySet()) 
		{
			if(keys.contains(it.getKey()))
			{
				conmap.remove(it.getKey());
			}
		}
		finish_time = new GregorianCalendar().getTimeInMillis();
		System.out.println("Time ConcurrentHashMap: "+(finish_time - start_time)+"ms "+ conmap.size()+ "size");

А где рандомное число удаления ?

		int counts = 600; 
                ArrayList<Integer> keys = new ArrayList<Integer>(); //список идов
		for(int i=1;i<=counts;i++)
		{
			if((i%2)==0) //все четные числа до counts
			{
				keys.add(i); //тут будет список только четных чисел 2,4,6,8,10,12 и ... 596,598,600 (размер 300)
			}
		}

Можно конечно перемешать но сути не должно изменить.

1 вопрос. Багрепорты это всё класс, кул, зебест.

Вот я использую твою сборку на 600 онлайна. Мне нужно сделать что то типа. Некого хранилища, ну... скажем в 600 игроков, да так, чтобы я смог вытянуть одного из них из этого хранилища, скажем по ключу под названием id. Ну наверное ты подумал о HashMap<Integer, Player>(); ... Но вот незадача, нужно из этих 600 человек, ну... скажем удалить некое кол-во игроков, от 100, до 250. Хотел бы посмотреть на реализацию этого. Да, и хотел бы это увидеть с HashMap<Integer, Player>();

Интересно, первое что пришло в голову Iterator+HashMap или ConcurrentHashMap если не прав то поправьте:

 

		int counts = 600; 
		
		HashMap<Integer, String> map = new HashMap<Integer, String>();
		ConcurrentHashMap<Integer, String> conmap = new ConcurrentHashMap<Integer, String>();
		ArrayList<Integer> keys = new ArrayList<Integer>();
		for(int i=1;i<=counts;i++)
		{
			map.put(i,"Текст "+i);
			conmap.put(i,"Текст "+i);
			if((i%2)==0) //все четные числа до counts
			{
				keys.add(i); 
			}
		}

		//HashMap
		long start_time = new GregorianCalendar().getTimeInMillis();
		for(Iterator<Map.Entry<Integer, String>> it = map.entrySet().iterator(); it.hasNext(); ) 
		{
			Map.Entry<Integer, String> entry = it.next();
			if(keys.contains(entry.getKey()))
			{
				it.remove();
			}
		}
		long finish_time = new GregorianCalendar().getTimeInMillis();
		System.out.println("Time HashMap: "+(finish_time - start_time)+"ms "+ map.size()+ "size");
		
		//ConcurrentHashMap
		start_time = new GregorianCalendar().getTimeInMillis();
		for(Map.Entry<Integer, String> it :  conmap.entrySet()) 
		{
			if(keys.contains(it.getKey()))
			{
				conmap.remove(it.getKey());
			}
		}
		finish_time = new GregorianCalendar().getTimeInMillis();
		System.out.println("Time ConcurrentHashMap: "+(finish_time - start_time)+"ms "+ conmap.size()+ "size");

Time HashMap: 4ms 300size

Time ConcurrentHashMap: 3ms 300size

Пользуюсь VisualVM куда лучше и удобней, а так сути не меняет.

Хотел бы в добавок подкрепить ещё статейку.

http://learn.javajoy.net/java-memory-leaks

А имена ботов можно как то изменять? все боты на А....

Естественно, видео записано со старой ревизии, в последних уже перемешивает список ботов взятый с базы.

Удачи в поисках, тоже интересует качественные боты для ИТ, если у кого то есть цену в лс.

Если не затруднит снять ещё видео с IOGuard и платным адреналином.

Буду очень признателен.

http://ioguard.l2code.ru/files/Patch+IOGuard.zip

Ни одна защита не блокирует адреналин. Абсолютное большинство сидят на платном адреналине, поэтому покупать защиту чтоб защититься от 10 человек не вижу смысла.

Все доступно у нас в лк, есть бесплатная версия, качайте тестируйте.

http://lk.l2code.ru/

Есть сборка л2код, клиентка.

Задача не должно работать 99% шаровых ботов, даже при определенных махинациях.

Сейчас на тесте иогвард спавна, но уж чет совсем все печально, дошли слухи что пацаны переименовывают длл и юзвют шаровый адреналин. Так же и с л2волкером. Сама защита безбожно грызется антивирусниками и оставляет белое пятно на пол Моника, которое очень бесит игроков.

 

Что сейчас актуально? Закрыть глаза на платный адрик и взять смарт?

Уже исправлено, заменяли dll на старую версию где не было детектов, теперь со старой версией не пускает.

Как назввался ваш проект если не секрет?

Тот который для забугорной аудитории был l2hit.com

это именно то, что у л2кода, только ранней версии.

Вот как раз то что в ранней версии все есть в шаре, с этой версией koss предоставил нам исходники, которые допиливались и перерабатывались.

Переработка детектов, убраны алгоритмы которые создавали ложные детекты, переработка пакетки и реализация серверной части аналога смартгварда, добавлены новые детекты для адреналин и других бот программ.

Переработка получение хвида и передача серверу. Добавлена защита от ддоса на приложение (DDoS Layer7) по логину. Реализация оверлея. Реализация поддержки управление привязки с личного кабинета.

Так что то что у вас, все это есть в шаре, данная версия далеко не IOGuard от l2code, от него только осталось название.

http://prntscr.com/fgehl8

 

То что у вас, это не IOGuard во всяком случаи не от l2code, а то что сейчас в шаре слепленное с FT-Guard'а сложно называть защитой.

а сколько заплатил ты за эти 100 онлайна?

Да какое там 100 онлайн, там и 100 не было.

Первое открытие одного проекта было успешным пока нас не слил ПроМ говну, мы открывались перед euro-pvp.

А второе открытие уже другого проекта курировал сам спонсор, я сразу сказал что онлайн будет очень мал.

Тот мизер что вернул проМ он и остался на рекламу, открывались именно только для забугорной аудитории что и было ошибкой.

А так не смотря на онлайн люди все равно играли так как задумка сервера была интересной.

Видел я тот-самый-тред с обвинениями на форуме той-самой-фришки. Отличный материал, в духе какого-нибудь РенТВ, только рептилоидов не хватает. Собстна, посмеялся от души, в особенности, от того, что СГ сливает оригинальный ИПшник сетевого интерфейса машины. Ну, мы же люди технически грамотные и вроде бы в домыслы не верим, правильно? Тогда разберем все по полочкам, поехали.

 

Начнем с клиентского модуля, так как тут меньше всего требуется писать. Клиент модуль имеет только тот адрес, который указан для подключения. Другими словами - адрес домена (который резольвит фильтр), либо сразу ИПшник фильтра. Всё.

Этот кусочек цепи можно выкидывать. Переходим к серверному модулю, так как тут ситуация не настолько однозначная.

 

Вообще, провести аудит серверного модуля - не вызывает каких-либо проблем, так как он написан на джаве и все прекрасно декомпилируется (другими словами, если не хотите верить мне на слово, то все легко проверяется). Пару лет назад, когда я еще поддерживал свой эмуль fork2, я писал свою реализацию серверного модуля, конечно же, с оглядкой на референсный. В коде я никогда не видел резольв сетевых интерфейсов, единственное, на что можно подумать - соединение с сервером защиты для валидации лицензии (модулей и т.д.). Хорошо, мы нашли единственный вариант "утечки".

Давайте немного отойдем в сторону от СГ, да и вообще джавы в целом, взглянем на сеть. Как работает машина, которая стоит под фильтром? В нормальных компаниях местах, где продают фильтры - на конечной машине создается новый виртуальный сетевой интерфейс и весь сетевой трафик переводится на него (с помощью записи роута), чтобы машина общалась с внешним миром только через фильтр. В плохих вариантах - фильтр просто проксирует траф на конечную машину, при этом теряется оригинальный отправитель этого трафа (т.е. все входящие подключения на машину имеют ИПшник фильтра, а не пользователя) - такой вариант самый дерьмовый и на самом деле, нет ничего удивительного, что в таком варианте сервер могут вы выложить вниз. Теперь к хорошему, правильному и годному варианту - все исходящие подключения сервера будут вестись через фильтр и тот же серверный модуль защиты будет подключаться к серверам СГ уже под фильтром.

В общем, если даже если мы примем за правду, то что СГ "сливает ипшники" - все равно это ничего не дает, если фильтр подключен правильно.

 

В качестве послесловия: если уж вы настолько технически неграмотны, то наймите, вашу мать за ногу, нормального системного администратора и не пользуйтесь шарашкиными конторами, которые предоставляют говеные фильтры.

 

За сим все, всем спасибо.

Я тоже не пойму кто что сливает)

Было бы что сливать.

Если в защите указывают чистый ип машины, то его легко проснифать и начать досить.

Если указывают фильтр в качестве привязки, то и сливать нечего как кроме ип фильтра который также можно проснифать.

Единственное что можно слить, так это ключи для алгоритма шифрации.

Дело стоит только в том с кем этот недочеловек (говно11к) работает и какие есть уязвимость у контор предоставляющих защиту от ддос.

Естественно остается уязвимость если акума не позаботился о своих серверах валидации, защита должна функционировать если сервера валидации не будут доступны.

Знаю что некоторые известные "топ" конторы не держут ддос по UDP, некоторые наоборот другие виды атак. Кто вообще не фильтруют атаку по приложению.

И если хотя бы один из видов атак будет уязвим то смысла от фильтра нет.

Естественно начинаются такие триды.

 

Какая война, просто украинцы бедные это факт.

 

Притом, что денег нет, а это бизнес, конкурировать с теми же русскими не выйдет. И я вам тоже минусов натыкаю не переживайте)

Судя с вашей позиции, если нерусский беден то у него русские обязаны забрать последний хлеб и отправить в лагерь по типу знаменитого Освенцима?

Это нацизмом попахивает, выходит что Гитлер все таки победил СССР.

Не знаю откуда вы такой ненависти и тщеславие нахватались.

 

За что деды проливали кровь?

Учитесь на ошибках истории и делайте выводы!

Спавн, при правильных ручках, уязвимости бесполезны.

Достаточно установить правильные права на файлы и никто ничего вам не сделает.

Чтение конфигов обвязки, подмена сессии.

Наконец забить таблицу мусором, и куча всего ещё при любом раскладе карт что-то будет доступно.

Все уязвимо, рано или поздно все равно находят уязвимость везде даже в том же php, ispmanager и т.д.

А взлом строится именно на таких игнорируемых уязвимостях.

я задал конкретный вопрос нет бы подсказать что да как... А не гадить

Имеется исходник StressWeb 13 с исправленными уязвимостями.

ICQ 455578898.

За 2+ недели от создания темы можно было и доработать,исправление последующих проблем походу будут в таком же темпе?

Мысль изменить шаблон пришла только позавчера ночью. Один день срока, вам не один дизайнер не даст.

Так что думаю если фиксить проблемы в таком же темпе то это только здорово будет.

 

лаги явно из-за флеша, чего там дорабатывать?

а игроки попадаются иногда такие, у которых компы еще с 1гб оперативы.

так что делая такой тяжелый сайт есть возможность потерять много игроков (имхо)

Лаги из за трех стрим окон.

Спасибо сделаем кликабельные png картинки или уберем iframe.

Если дело верняк кредит самое оно, а где же предыдущие открытия и тд. Да вообще когда украинцы открываю л2 сервера это смешно.

Не нужно разжигать межнациональную рознь, здесь люди не воюют. Если нравится воевать, автомат в зубы и в горячую точку.

Что касательно проекта, сейчас допиливаем дизайн и меняем экономику. Пока определяемся с кем лучше работать. Любые предположения приветствуются.

Берите кредит или работу ищите

Кредит это плохо, а если все время уделять работе то кто тогда над проектом работать будет ?