Boa tarde pessoal, tudo bem?
Não sei se vocês lembram, mas há uns 15 dias eu postei pedindo ajuda sobre um problema no login.

Consegui resolver com a ajuda de vocês, me falaram que era ataque e eu comecei a tentar atacar até descobrir como era.

Porém, estão atacando novamente.

Aí vocês devem se perguntar: Nossa, mas você tem tantos inimigos assim?
Nãao! Eu não tenho inimigos, na verdade eu até ajudo outros servidores que me procuram.

Mas enfim, vou falar o que aconteceu:

No último domingo tivemos o Castle Siege, evento que ocorre no GS_CS, correto?

Durante o evento, 4 vezes, tivemos um "DC GERAL". Quase todo mundo tomou DC.

Vou falar alguns relatos, inclusive meu pra explicar o que aconteceu:
- Jogador 1 que estava dentro do Castelo: "Dava um LAG, sabe quando todos param e só você fica andando? As magias não saiam, não enviava nada no chat, e depois de uns 20 segundos tomei DC"
- Jogador 2 que estava upando, no GS normal: "Não teve lag nenhum"
- Admin que estava dentro do Castelo: "Deu um LAG MONSTRO, e depois de um tempo voltou ao normal, só os 2 jogadores que estavam com os crowns continuaram no castelo"
Esse relato do Admin aconteceu 2 vezes, no char Admin, e no char GM_Fiscal que é invisível. Não descarto ser Hit Hacker, pq o Admin não toma dano dos outros jogadores.

Enfim, comigo aconteceu assim:
A primeira vez deu um lag e eu achei que foi a internet e fechei o MU e abri dnv, não sei se eu teria tomado DC ou não.
Na segunda vez eu estava longe do castelo, ainda estava subindo, e deu um LAG absurdo, mas depois voltou ao normal, não tomei DC.


Não sei que tipo de ataque é esse, não sei se é na rede, se é algum envio de Packet, não tenho ideia!!

Criei o servidor pra trazer um 1.0M clássico de qualidade, e não me importo se não tiver depósitos e tals, afinal... Depois que teve o problema dos logins que durou quase 15 dias, chegamos a ficar com uma média de 1 jogador on. O último depósito recebido foi em Janeiro, então obviamente não tenho condições de pagar alguém pra rever a segurança agora.

Enfim, preciso da ajuda de vocês, e sei que algum de vocês sabe como me ajudar.

Se for o caso, me enviem por MP formas de eu atacar meu servidor pra testar, não tenho muito conhecimento sobre isso, então nem burlar o PS pra conseguir enviar pakcets com o WPE eu consigo.

Por favor, me ajudem!

Você efetuou a troca de Empresa do VPS como todos recomendaram da outra vez?
Ou fez alguma reclamação sobre a segurança?

Se não fez nada disso, vai ser um tópico de ataque por mês, igual reprise de novela mexicana.

Este caso de agora não está parecendo bem um ataque, está mais para uso de programas ilegais, hackers.
Se analisarmos a situação como um todo, apenas durante o evento Castle Siege ocorrem os problemas e só o GS_CS apresenta
lag's e dc's. Para mim, algum programa está sendo usado por alguém de uma das Guild's participantes do evento e tal
programa não está sendo detectado pelo seu anti-hack.
Caso seja programa, infelizmente você não pode fazer absolutamente nada até que descubra qual programa é, e assim saber
como é o funcionamento e assim bloquear. O que pode ser feito é ativar todos os LOG's do GS_CS e estudar anomalias.

Digamos que não seja programa ilegal mas sim um ataque, mais uma vez saliento que você não pode fazer nada.
Pode trocar a porta, é só usar o comando netstat -a no Dos e pegar a porta e o IP do seu Mu e recomeçar o ataque. Você é totalmente
dependente hoje em dia da segurança que deve ser fornecida pela empresa do VPS, é ela quem deve fornecer os devidos bloqueios ao excesso de recebimento de dados (DDOS) e demais proteções. Estes VPS de 49,90 por mês só servem para teste de arquivos de Mu, para por online é só isso aí que se arruma, dor de cabeça. Infelizmente você está sendo azarado por estar sendo alvo
desta maneira.

Você efetuou a troca de Empresa do VPS como todos recomendaram da outra vez?
Ou fez alguma reclamação sobre a segurança?

Se não fez nada disso, vai ser um tópico de ataque por mês, igual reprise de novela mexicana.

Este caso de agora não está parecendo bem um ataque, está mais para uso de programas ilegais, hackers.
Se analisarmos a situação como um todo, apenas durante o evento Castle Siege ocorrem os problemas e só o GS_CS apresenta
lag's e dc's. Para mim, algum programa está sendo usado por alguém de uma das Guild's participantes do evento e tal
programa não está sendo detectado pelo seu anti-hack.
Caso seja programa, infelizmente você não pode fazer absolutamente nada até que descubra qual programa é, e assim saber
como é o funcionamento e assim bloquear. O que pode ser feito é ativar todos os LOG's do GS_CS e estudar anomalias.

Digamos que não seja programa ilegal mas sim um ataque, mais uma vez saliento que você não pode fazer nada.
Pode trocar a porta, é só usar o comando netstat -a no Dos e pegar a porta e o IP do seu Mu e recomeçar o ataque. Você é totalmente
dependente hoje em dia da segurança que deve ser fornecida pela empresa do VPS, é ela quem deve fornecer os devidos bloqueios ao excesso de recebimento de dados (DDOS) e demais proteções. Estes VPS de 49,90 por mês só servem para teste de arquivos de Mu, para por online é só isso aí que se arruma, dor de cabeça. Infelizmente você está sendo azarado por estar sendo alvo
desta maneira.

Da outra vez ficou provado que não era problema do Host, e sim uma falha no código do GS, que foi corrigida. Eu conseguia atacar vários servidores existentes que eu conhecia (não testei no MU Away) e eu afetava TODOS com o ataque. Nenhum o FireWall barrava ou algo do tipo. Todavia, poucos enfrentavam problemas. Geralmente era um ataque "inútil" e sem função. Era parecido com um flood no GameServer, na verdade em alguns servidores era exatamente o que acontecia, "enchia a barra". Em outros o problema era igual o que enfrentei. Só pra constar, não prejudiquei ninguém testando o ataque, testava de madrugada e geralmente durante apenas 30 segundos, e depois que parava tudo voltava ao normal.

Mas como não sabíamos o que era, a empresa reforçou TOTALMENTE a segurança, indo além da proteção usual deles. Meu servidor não é de R$ 49,90. Estamos hospedados no Brasil e não é nada barato.

Acredito que se fosse um ataque de rede os 2 servidores enfrentariam lag.

Fico pensando o que poderia ser, e realmente não tenho ideia.

Novamente estou procurando uma agulha no palheiro, e isso é muito estressante.

Se você souber de algum programa desse tipo, seria muito bom pra mim poder testar.

Que tipo de programa pode ser utilizado para causar esses problemas? Que eu saiba Capote / Hit Hack dá o DC na mesma hora, e não laga pra todos..

Na minha cabeça, fico imaginando se seria um envio continuo de alguma packet que possa causar esse LAG e dar DC em várias pessoas, mas não tenho ideia :(

Espero que alguém com conhecimento me ajude, porque sem depósito tá difícil manter o servidor online, quanto mais mudar pra uma empresa gastando ainda mais do que já gastamos hoje.

Da outra vez ficou provado que não era problema do Host, e sim uma falha no código do GS, que foi corrigida. Eu conseguia atacar vários servidores existentes que eu conhecia (não testei no MU Away) e eu afetava TODOS com o ataque. Nenhum o FireWall barrava ou algo do tipo. Todavia, poucos enfrentavam problemas. Geralmente era um ataque "inútil" e sem função. Era parecido com um flood no GameServer, na verdade em alguns servidores era exatamente o que acontecia, "enchia a barra". Em outros o problema era igual o que enfrentei. Só pra constar, não prejudiquei ninguém testando o ataque, testava de madrugada e geralmente durante apenas 30 segundos, e depois que parava tudo voltava ao normal.

Mas como não sabíamos o que era, a empresa reforçou TOTALMENTE a segurança, indo além da proteção usual deles. Meu servidor não é de R$ 49,90. Estamos hospedados no Brasil e não é nada barato.

Acredito que se fosse um ataque de rede os 2 servidores enfrentariam lag.

Fico pensando o que poderia ser, e realmente não tenho ideia.

Novamente estou procurando uma agulha no palheiro, e isso é muito estressante.

Se você souber de algum programa desse tipo, seria muito bom pra mim poder testar.

Que tipo de programa pode ser utilizado para causar esses problemas? Que eu saiba Capote / Hit Hack dá o DC na mesma hora, e não laga pra todos..

Na minha cabeça, fico imaginando se seria um envio continuo de alguma packet que possa causar esse LAG e dar DC em várias pessoas, mas não tenho ideia :(

Espero que alguém com conhecimento me ajude, porque sem depósito tá difícil manter o servidor online, quanto mais mudar pra uma empresa gastando ainda mais do que já gastamos hoje.

Como está sendo agora durante a semana sem o Castle Siege?
Algum report de Lag anormal ou disconect?
Já que mencionou que era falha no código do GS, confirma com a fabricante do MS se foi lhe passado também o GS_CS corrigido.
Pode ser que não.

Como está sendo agora durante a semana sem o Castle Siege?
Algum report de Lag anormal ou disconect?
Já que mencionou que era falha no código do GS, confirma com a fabricante do MS se foi lhe passado também o GS_CS corrigido.
Pode ser que não.

Agora durante a semana está normal, acredito que no Rei do PVP na quinta iremos ter problema novamente..

O GS_CS foi corrigido também, o problema é diferente dessa vez :/

Agora durante a semana está normal, acredito que no Rei do PVP na quinta iremos ter problema novamente..

O GS_CS foi corrigido também, o problema é diferente dessa vez :/

De qualquer forma, para não se preocupar antecipadamente, comenta com a empresa do MS este ocorrido, pode ser uma outra
falha que só se mostrou com uma quantidade mais elevada de players no GS_CS.

De qualquer forma, para não se preocupar antecipadamente, comenta com a empresa do MS este ocorrido, pode ser uma outra
falha que só se mostrou com uma quantidade mais elevada de players no GS_CS.

Foi me dito que preciso descobrir como o ataque ocorre, para ser fixado.. Por isso criei o tópico pra tentar ver se alguém já passou por isso e sabe o que é :/

Você pode verificar se está recebendo ataques monitorando a quantidade de conexão nas portas
se você ver valores muito altos é sinal de ataque

Rode esse comando no CMD do windows, deixei configurado com as portas padrões, você troca pelas portas do seu muserver
o numero que ele vai mostrar é a quantidade de conexão em cada porta

netstat -ano | find /c "44405"
netstat -ano | find /c "55557"
netstat -ano | find /c "55960"
netstat -ano | find /c "55962"
netstat -ano | find /c "55970"
netstat -ano | find /c "55901"
netstat -ano | find /c "55919"
netstat -ano | find /c "1433"
netstat -ano | find /c "80"

Você pode verificar se está recebendo ataques monitorando a quantidade de conexão nas portas
se você ver valores muito altos é sinal de ataque

Rode esse comando no CMD do windows, deixei configurado com as portas padrões, você troca pelas portas do seu muserver
o numero que ele vai mostrar é a quantidade de conexão em cada porta

netstat -ano | find /c "44405"
netstat -ano | find /c "55557"
netstat -ano | find /c "55960"
netstat -ano | find /c "55962"
netstat -ano | find /c "55970"
netstat -ano | find /c "55901"
netstat -ano | find /c "55919"
netstat -ano | find /c "1433"
netstat -ano | find /c "80"

Existe uma forma de saber quem é?

Existe uma forma de saber quem é?

'saber quem é' é impossível
você consegue ver os IPs conectados ao seu VPS e quais portas eles estão conectados usando o comando abaixo
ai segue o mesmo padrão, se tiver conexões demais é sinal de ataque, nos meus testes o mesmo IP aparece somente 2 vezes, 1 conectado na porta do antihack e 1 conectado na porta do gameserver

Comando:

netstat -n

9 minutes:------- Atualizado -------

Outro comando que você pode usar é o:

netstat -ano | find ":55901"

ele vai filtrar os IPs que estão conectados a porta que você definir onde está 55901

então se você usar o comando netstat -ano | find /c "55901" e notar uma quantidade exagerada de conexões em seguida pode usar o netstat -ano | find ":55901", ver qual ip está com conexão anormal e bloquear esse IP

Lembrando que se o mesmo usuário estiver com 2 clientes do jogo aberto o ip dele vai aparecer 2 vezes e assim sucessivamente..

'saber quem é' é impossível
você consegue ver os IPs conectados ao seu VPS e quais portas eles estão conectados usando o comando abaixo
ai segue o mesmo padrão, se tiver conexões demais é sinal de ataque, nos meus testes o mesmo IP aparece somente 2 vezes, 1 conectado na porta do antihack e 1 conectado na porta do gameserver

Comando:

netstat -n

9 minutes:------- Atualizado -------

Outro comando que você pode usar é o:

netstat -ano | find ":55901"

ele vai filtrar os IPs que estão conectados a porta que você definir onde está 55901

então se você usar o comando netstat -ano | find /c "55901" e notar uma quantidade exagerada de conexões em seguida pode usar o netstat -ano | find ":55901", ver qual ip está com conexão anormal e bloquear esse IP

Lembrando que se o mesmo usuário estiver com 2 clientes do jogo aberto o ip dele vai aparecer 2 vezes e assim sucessivamente..

Certo, e não existe uma forma de eu limitar o acesso a, por exemplo, 10 conexões?
Evitando assim que alguém consiga derrubar?

Certo, e não existe uma forma de eu limitar o acesso a, por exemplo, 10 conexões?
Evitando assim que alguém consiga derrubar?

que eu saiba, não

Certo, e não existe uma forma de eu limitar o acesso a, por exemplo, 10 conexões?
Evitando assim que alguém consiga derrubar?

Unico jeito que conheço é usar outro vps com opnsense ou pfsense, filtrando todo tráfego de dados (usar como firewall do vps windows), e assim limitar as conexões. Quando eu tinha servidor foi a unica forma eficaz.

Existe uma forma de limitar o numero de conexões por IP, e proteger contra ataques que são usados para servidores de jogos, que muitas vezes passam despercebidos pelo firewall do datacenter

Para isso basta instalar o Anti DDOS Guardian no seu VPS

Vou deixar aqui o download da versão 5.0 junto com imagens e guia para instalar.

[Only registered and activated users can see links]!NkEXEQiC!eWuj5F7iNlG9gVTk5sIm1-1113x0w2--eoEix4ztQzk

Unico jeito que conheço é usar outro vps com opnsense ou pfsense, filtrando todo tráfego de dados (usar como firewall do vps windows), e assim limitar as conexões. Quando eu tinha servidor foi a unica forma eficaz.

Muito obrigado pela informação, porém pra mim você escreveu grego kkk Conseguiria, se possível, me explicar melhor esse procedimento?

2 minutes:------- Atualizado -------


Existe uma forma de limitar o numero de conexões por IP, e proteger contra ataques que são usados para servidores de jogos, que muitas vezes passam despercebidos pelo firewall do datacenter

Para isso basta instalar o Anti DDOS Guardian no seu VPS

Vou deixar aqui o download da versão 5.0 junto com imagens e guia para instalar.

[Only registered and activated users can see links]!NkEXEQiC!eWuj5F7iNlG9gVTk5sIm1-1113x0w2--eoEix4ztQzk

Muito obrigado, irei fazer o teste com o Guardian.