Metin2 Sunucu Sahiplerinin Gözden Kaçırdığı 8 Kritik Güvenlik Açığı
Sunucunuzu kurdunuz, optimizasyonları yaptınız ve oyuncularınızı bekliyorsunuz. Peki ya sunucunuzun kapıları, kötü niyetli kişilere ne kadar açık? Bir Metin2 sunucusunun en büyük kabusu, lag veya hatalardan önce, tüm emeğinizi bir gecede yok edebilecek güvenlik açıklarıdır.
Birçok sunucu sahibi, karmaşık saldırı yöntemlerinden korkarken, aslında en yıkıcı saldırılar en basit ve en sık gözden kaçırılan temel hatalardan kaynaklanır. Bu rehberde, sunucunuzu bir kale gibi sağlamlaştırmak için hemen bugün kapatmanız gereken 5 kritik güvenlik açığını ve basit çözüm yollarını anlatacağız.
1. Zafiyet: Zayıf veya Varsayılan Veritabanı (MySQL) Şifreleri
Bu, inanılmaz gibi gelse de en yaygın ve en tehlikeli açıktır. "12345", "root", "dev" gibi tahmin edilebilir şifreler kullanmak, kalenizin ana kapısını sonuna kadar açık bırakmakla aynıdır.Risk: Saldırgan, veritabanınıza erişerek oyuncu hesaplarını (eşyaları, şifreleri), karakter bilgilerini çalabilir, silebilir veya sunucu ekonominizi alt üst edebilir.
Çözüm (Adım Adım):
1- SSH üzerinden sunucunuza bağlanın ve MySQL'e giriş yapın: mysql -u root -p
2- Aşağıdaki komutları kullanarak, oyununuzun kullandığı tüm veritabanı kullanıcılarının şifrelerini değiştirin. Özellikle 'root' ve oyununuzun ana kullanıcısı (mt2 gibi) için bunu yapın.
SQL:
ALTER USER 'root'@'localhost' IDENTIFIED BY 'Buraya_COk_Guclu_BIR_Sifre_Yazin_123!';
ALTER USER 'mt2'@'localhost' IDENTIFIED BY 'Buraya_DA_Guclu_Baska_Bir_Sifre_Yazin_456!';
FLUSH PRIVILEGES;3- En Önemli Adım: Şifreleri değiştirdikten sonra, sunucunuzun CONFIG dosyalarını (/usr/game/g1/auth/CONFIG, /usr/game/g1/db/CONFIG vb.) açıp PASS satırlarını yeni şifrelerinizle güncellemeyi asla unutmayın. Aksi takdirde sunucunuz veritabanına bağlanamaz.
2. Zafiyet: Hatalı Dosya İzinleri (777 İzni Vermek)
Yeni başlayanların en sık yaptığı hata, bir şey çalışmadığında "chmod -R 777" komutunu kullanarak tüm dosya ve klasörlere tam yetki vermektir. Bu, "bütün kapıları kilitsiz bırak, isteyen istediği odaya girsin" demektir.Risk: 777 izni, herhangi bir kullanıcının o dosyayı okumasına, yazmasına ve çalıştırmasına izin verir. Bu, bir saldırganın sunucu dosyalarınızı değiştirmesine, silmesine veya kendi zararlı kodlarını sunucunuzda çalıştırmasına olanak tanır.
Çözüm:
Asla körü körüne 777 izni vermeyin.
Genel bir kural olarak, klasörler için 755, dosyalar için ise 644 izni yeterli ve güvenlidir. Bu, sadece dosya sahibinin yazma iznine sahip olmasını sağlar.
Örnek Güvenli İzin Komutları:
Bash:
find /usr/game -type d -exec chmod 755 {} \; # Tüm klasörler için
find /usr/game -type f -exec chmod 644 {} \; # Tüm dosyalar içinSadece çalıştırılabilir dosyalara (game, db, start.sh gibi) chmod +x ile çalıştırma izni verin.
3. Zafiyet: Korumasız Python Bağlantıları
Modern Metin2 files'ları, sıralama, efsun botu gibi birçok özelliği Python üzerinden yönetir. Eğer bu Python script'lerine erişim korumasız ise, saldırganlar oyun dışından bu özellikleri manipüle edebilir.Risk: Oyun dışından gönderilen sahte paketlerle efsun botunu suistimal etmek, sıralamayı değiştirmek, hatta sunucuya eşya çağırmak gibi yıkıcı eylemler yapılabilir.
Çözüm:
Python script'lerinizin en başında, gelen bağlantının kimliğini doğrulayan bir "private key" veya "token" sistemi kullanın.
Örnek Basit Kontrol (Python script'inizin başına ekleyin):
Python:
# Bu anahtarı kimseyle paylaşmayın ve CONFIG dosyasından okutun
PRIVATE_KEY = "Kimsenin_Tahmin_Edemeyecegi_Bir_Anahtar_1295"
# Gelen veriyi alın (örnek)
gelen_veri = receive_data()
gelen_anahtar = gelen_veri.get("key")
if gelen_anahtar != PRIVATE_KEY:
# Eğer anahtar yanlışsa, işlemi hemen sonlandır
print("Yetkisiz Erisim!")
sys.exit()
# Anahtar doğruysa işlemlere devam et
...4. Zafiyet: Genel "Pack Key" ve "Crypt Key" Zafiyetleri
Birçok sunucu sahibi, internetten indirdiği hazır pack dosyalarını ve bu dosyaları şifreleyen/çözen pack_crypt_key gibi anahtar dosyalarını değiştirmeden kullanır.Risk: Eğer anahtarlarınız herkes tarafından bilinen genel anahtarlarsa, herhangi biri pack dosyalarınızı kolayca açabilir, içindeki dosyaları (questler, item bilgileri) çalabilir veya kendi hileli dosyalarıyla değiştirip size gönderebilir.
Çözüm:
Kendi sunucunuza özel, kimsede olmayan pack şifreleme anahtarları oluşturun.
Bu işlemi yapacak çeşitli programlar (EterNexus gibi) veya kaynak kod düzenlemeleri mevcuttur. Bu, daha ileri seviye bir işlem olsa da, sunucunuzun özgünlüğünü ve güvenliğini korumak için kritik bir adımdır.
5. Zafiyet: Eksik veya Hatalı Güvenlik Duvarı (Firewall) Kuralları
FreeBSD'nin güçlü bir güvenlik duvarı (IPFW) vardır, ancak birçok kişi bunu ya hiç kullanmaz ya da sadece temel portları açıp bırakır.Risk: Sunucunuz, DDOS (hizmet dışı bırakma) saldırılarına, port taramalarına ve diğer ağ tabanlı saldırılara karşı savunmasız kalır.
Çözüm:
Oyun sunucularını güvence altına alabilmek için en azından temel bir güvenlik duvarı kuralı kurman gerekiyor, bu kural sadece oyunun gereksindiği portlara erişim izni tanıyacak şekilde ayarlanmalıdır örneğin 11002 veya 13000 ile 13099 arasındaki portlara izin verip diğer tüm girişleri engellemek gibi.
Brute force (kaba kuvvet şifre deneme) saldırılarını engellemek için, kısa sürede çok sayıda hatalı giriş denemesi yapan IP'leri otomatik olarak engelleyen kurallar ekleyin.
sshd (SSH bağlantısı) için standart 22 portunu, tahmin edilmesi daha zor başka bir portla değiştirin.
6. Zafiyet: Web Sitesindeki SQL Injection Açıkları
Sunucunuz ne kadar güvenli olursa olsun, oyuncuların kayıt olduğu, item shop'u kullandığı web siteniz zayıfsa, kalenizin en savunmasız yeri orasıdır. SQL Injection, saldırganın sitenizdeki formlara (kayıt, giriş, destek talebi vb.) normal veri yerine özel veritabanı komutları yazmasıdır.Risk: Saldırgan, bu yöntemle tüm veritabanınızı (oyuncu şifreleri, e-postaları, itemleri, karakter bilgileri) ele geçirebilir, silebilir veya değiştirebilir. Bu, bir sunucunun başına gelebilecek en yıkıcı saldırılardan biridir.
Çözüm:
Web sitenizin kodlarını yazarken veya hazır bir script kullanırken, veritabanı sorgularının "Parametreli Sorgular" (Prepared Statements) ile yapıldığından emin olun.
Basitçe Anlatmak Gerekirse: Bu yöntem, kullanıcıdan gelen veriyi (örneğin, bir şifre) bir komut olarak değil, sadece bir "metin" olarak kabul eder. Böylece saldırganın yazdığı zararlı kodlar asla çalıştırılmaz.
Eğer hazır bir web paneli kullanıyorsanız, panelin geliştiricisinin güvenilir olduğundan ve SQL Injection'a karşı koruma sağladığından emin olun. İnternetteki eski ve bilinmeyen panelleri asla kullanmayın.
7. Zafiyet: Sunucu Taraflı Kontrol Eksikliği (Client'e Kör Kütük Güvenmek)
Bu, "Hız hilesi (speed hack), teleport hilesi, vuruş mesafesi hilesi (range hack) neden var?" sorusunun cevabıdır. Zafiyet, sunucunun, oyuncunun bilgisayarından (client) gelen bilgilere "doğrudur" diye körü körüne inanmasıdır.Risk: Hile programları, oyun istemcisini manipüle ederek sunucuya yalan söyler. Örneğin, "Ben saniyede 50 metre koştum" veya "Düşmana 20 metre uzaktan vurdum" gibi sahte paketler gönderir. Eğer sunucu bu bilgiyi kontrol etmeden kabul ederse, hile başarılı olur.
Çözüm:
Asla ve asla istemciden (client) gelen veriye güvenme! Sunucu her zaman nihai otorite olmalıdır.
Hareket Kontrolü: Sunucu, bir oyuncunun normalde ne kadar hızla hareket edebileceğini bilmelidir. Gelen hareket paketindeki hız bu limiti aşıyorsa, sunucu bu isteği reddetmeli ve oyuncuyu eski pozisyonuna geri ışınlamalıdır.
Mesafe Kontrolü: Bir oyuncu saldırdığında, sunucu oyuncu ile hedef arasındaki mesafeyi kendisi hesaplamalıdır. Eğer mesafe, o yeteneğin izin verdiğinden fazlaysa, saldırı geçersiz sayılmalıdır.
Bu kontrollerin C++ kaynak kodunda, ilgili fonksiyonların içinde yapılması gerekir.
8. Zafiyet: Bilinen Kaynak Kod Açıkları (Public Files Tehlikesi)
İnternette paylaşılan birçok "hazır server files", yıllar önce sızdırılmış ve herkes tarafından bilinen aynı kaynak kodlarına dayanır. Bu kodların içinde, tecrübeli saldırganların ezbere bildiği, yıllardır sömürülen kritik açıklar bulunur.Risk: Eşya kopyalama (item dupe), ticaret (trade) hileleri, envanter bug'ları, karakter takası sırasında item çalma, sunucuyu kasten çökertme (crash exploit) gibi en yıkıcı ve oyunun ekonomisini bitiren açıklar genellikle bu eski kodlarda bulunur.
Çözüm:
Eğer sunucu kuruyorsanız, kaynağı belirsiz, eski ve güncellenmeyen "public" files'lardan kaçının.Güvenilir, tanınmış ve aktif olarak güvenlik güncellemeleri yayınlayan geliştiricilerin hazırladığı "files"ları tercih edin.
Eğer kaynak koduna erişiminiz varsa, bu konuyu detaylı bir şekilde inceledikten sonra kendinizin için kritik güvenlik açıklarını bulup topluluk forumundaki kaynaklardan elde edeceğiniz bilgiye dayanarak yamalarını uygulayarak güvenli bir sunucuya sahip olabilirsiniz.
Bu 8 temel adımı atarak, sunucunuzu en yaygın ve en yıkıcı saldırıların %90'ından fazlasına karşı korumuş olursunuz. Unutmayın, en iyi sunucu sadece eğlenceli olan değil, aynı zamanda oyuncularının emeğini koruyacak kadar güvenli olandır.
