В данной статье будет рассмотрены рекомендации по повышению безопасности серверов для их владельцев.
Для начала рассмотрим моменты по аккаунтам клиентов.
Далее будет рассмотрены рекомендации по безопасности игрового сервера.

Безопасность аккаунта

---

Чтобы обезопасить свой аккаунт от взлома и получение доступа к нему сторонними лицами, нужно следовать данным советам:

• Придумать и установить сложный пароль к Вашему аккаунту (буквенно-цифровой, прописные и строчные буквы , 8 и более символов). Лучше всего сгенерировать пароль на специальных сайтах и записать его себе. Таким образом Вы обезопасите себя от попыток подбора пароля злоумышленником.
• Придумать и установить сложный пароль к Вашему почтовому ящику, который Вы вписывали при создании аккаунта. Так как при взломе Вашего почтового ящика злоумышленник сможет восстановить пароль через него.
• Если Вы используете доступ FTP, ни в коем случае не сохранять пароль в программе FileZilla, а каждый раз вводите его вручную. Если Вы его сохраните, злоумышленник может получить доступ к нему через различного рода вредоносные программы-вирусы и имея доступ к данным Вашего ПК.
• Не давать никому своих данных доступа к аккаунту на сайте 1game.ua. В результате, если сменят пароль, а Вы к тому же не имеете доступа к регистрационной почте, будет проблематично восстановить доступ к аккаунту и Вы можете его утерять.
• Если Вам нужно предоставить доступ к файлам сервера другому человеку (для настройки плагинов и т.д.), Вы можете дать ему данные FTP доступа к файлам вашего сервера. После внесения изменений этим человеком, обязательно поменяйте пароль доступа FTP. Сделать это можно просто отключив/включив обратно доступ. При этом пароль изменится и только Вы будете знать новый пароль.
• Для предоставления функций включения/отключения сервера другим людям пользуйтесь функцией Командный доступ из панели управления сервером. Не давайте для этого данные доступа к своему аккаунту.

Безопасность игрового сервера

---

1. Rcon_password

Устанавливайте всегда сложный буквенно-цифровой rcon-пароль на Ваш сервер. Таким может считаться пароль более 8 символов, состоящий из прописных и строчных букв и цифр. Проще всего такие пароли генерировать на специальном сайте. Для этого перейдите на сайт, выберите в списке строчные, прописные буквы и цифры. Задайте количество символов (любое более 7) и нажмите Создать пароль. Далее выберите любой пароль из списка.

Также одним из вариантов может быть установка пустого rcon-пароля. В таком случае подобрать и использовать пароль невозможно. Но нужно учитывать, что и Вы не сможете им пользоваться для управления сервером.

Напомним, что изменить пароль Вы можете в файле cstrike/server.cfg вашего игрового сервера. Переменная rcon_password

2. Подбор плагинов

Взлом и получение доступа к игровым серверам зачастую происходит из-за установки на сервера плагинов с бэкдорами (уязвимости, с помощью которых любой игрок, зная эту уязвимость, может получить доступ к серверу , либо к данным доступа к базе данных, rcon-пароль и другим данным).

Таких плагинов существует достаточно много, поэтому чтобы обезопасить свой сервер следуйте данным советам:

• Устанавливайте плагины только из проверенных источников, если не проверяете исходник каждого плагина (файл с расширением .sma , который должен поставляться с каждым плагином).
  Проверенными источниками могут являться такие ресурсы, как forums.alliedmods.net, amxmodx.org
  С других источников скомпилированные плагины без исходников крайне не рекомендуем устанавливать.
• Компилируйте каждый плагин перед установкой. И только скомпилированный Вами плагин (файл с расширением .amxx) устанавливайте на сервер. Компилировать плагины довольно просто. Можно как воспользоваться онлайн-компиляторами, таки скомпилировать плагин в игровом моде Amxmodx для ОС Windows у себя на ПК. Для этого загрузите архив мода, откройте его в любое место. Скопируйте исходник плагина (с расширением .sma) в папку addons\amxmodx\scripting\ из этого архива и перетащите исходник плагина на файл compile.exe в данном каталоге. После компиляции плагин окажется в папке addons\amxmodx\scripting\comiled и Вы можете его скопировать и использовать на сервере
• не устанавливайте плагины из этого списка на сервер. Они вероятнее всего будут с бэкдорами
  

  Galileo MastaMan Edition 1.1.290
  MastaMOTD's 2.5.0
  statsx_shell 2.0.0
  RS UAIO R3 1.51
  Weapon Lights (Beta) 0.71
  Stop Chat AD 2.0.0
  Plugin Manager 1.1
  In Game Advertisement System (MastaMan Edition) 1.83
  GameNameChanger 1.1
  FPD + HSE CFG 1.0.0
  CZ Style Missions 0.7.0 - БЕЗ ИСХОДНИКА
  

  
  В случае с плагином statsx_shell, Вы можете смело установить его из Панели управления сервером, раздел Плагины на сайте 1game.ua не опасаясь , что там присутствует бэкдор.
  
  
• Перед компиляцией исходников плагинов их также проверять на наличие подозрительных команд. Для того, чтобы полность анализировать весь файл .sma , нужно заниматься скриптингом плагинов. В нашем случае достаточно найти части кода, команды , которые могут вызывать те или иные вредоносные действия. Примеры:
  

  server_cmd - Выполнения команд в консоль сервера
  get_cvar_string - получение настроек( К примеру получение rcon_password )
  set_user_flags - Присвоение административных флагов
  Connect - Редирект
  bind - Редирект и т.д
  

  
  Это лишь малая часть, что можно поискать. Бекдоры могут быть очень хорошо замаскированы, которые без анализа кода не разобрать. Если Вы обнаружили подобные команды в исходнике плагина, есть повод насторожиться и не использовать данный плагин. Но зачастую бэкдоры встречаются только в уже скомпилированных плагинах,а не в их исходниках.