Вопрос Можете дать советы по защите сервера от взлома/краша ?

[whitewhess]

Вам необходимо зарегистрироваться для просмотра изображений-вложений

Вот весь список плагинов > ^

Ядро: Spigot
Версия ядра: 1.8

Сегодня крашнули сервер, первый способ пофиксил, нашли второй, пофиксил, исправил даже поиск самих проблем, но нет, нашлась проблема и в AuthMe,
Обход авторизации (Постоянно может узнавать пароли, какие бы я не ставил)

Кто даст больше ответов на мои вопросы попробую чем-то отблагодарить.

Изменено: Про PluginMetrics.jar можете не говорить, давно знаю об этом хаке, и уже даже изучил его под самый конец

 

[Ksenia_]

Spy:
# Delay in seconds for commands spy to turn on after relog
# This will prevent some one from loging in with admin account and seeing commands before loging in
# Keep it at same or higher than your login plugin delay for entering password
# This includes social spy too
DelayForTrigger: 60
# Commands in this list will not be shown when command spy is enabled for player for security/privacy reasons
# This can be bypassed with cmi.command.commandspy.bypass permission node
BlackListed:
- r
- reg
- register
- login
- log
- l

в CMI

 

[BlackBaroness]

Socialspy покажет пароли, если в блэклист не внести /reg /login и т.п. Сто людей - сто мнений, как и сто способов взлома.

1. Не на каждом сервере есть socialspy
2. На некоторых серверах аутентификация может слушать пакеты, а socialspy - ивент команд. в таком случае, socialspy не увидит. Или же может стоять на банже, а socialspy - на сервере (серверные плагины не видят команды банжи)
3. На любом нормальном сервере стоят права на socialspy

Эта команда не подходит под понятие "волшебный софт, который узнает пароль любого игрока". Более того, я бы на своём сервере вовсе socialspy не держал бы

Перехватить то, что отправляет любой игрок, невозможно, не имея доступа к самому серверу. Даже если взломать условный лакипермс и получить доступ к socialspy, это не считается за "софт, который любой пароль узнает"

Пароль игрока не показывается в логах и хранится в бд ввиде хеша