九阴玩家针对各种盗号情况 分享防范经验
先贴我另外一贴的回复
1. 百度搜索九阴真经(新手、门派、轻功、奇遇) xxx 有一定几率会搜出钓鱼站点。注意点击前先看url。有的很搞笑是某个**机关的网址 xxx.gov.cn/9yin/xxxx **怎么会有九阴相关消息?黑客利用这样的垃圾站刷百度排名,植入九阴专用盗号器(因为你搜的是九阴),浏览即中招。
2. 这里多说一个0day的概念。想给你植入木马不一定非要扫描+弱口令+爆破+溢出什么的。去黑市上1w左右买一个IE的0day就可以了。所谓0day就是微软官方都还不知道的安全漏洞,根本没有补丁可言,常见的就是IE的0day,使用ie或者ie内核浏览器的玩家要格外注意。
3. 关于免杀,楼主解释基本到位,要明确一点就是有两种情况你的杀软是屁都不会放一个的:
a. 对方的木马是自己纯手写或者某个已有木马的变种。杀软只能识别已有木马的特征码,广泛流传并被杀软厂商捕获后才会加入病毒数据库,如果只是小范围感染+经常更新, 那我只能祝各位好运了。
b. 就是楼主所说的免杀。花指令(各种跳转)加壳等都能很有效的做到免杀,熟练了5分钟过一个杀软,半个小时可以免杀所有主流杀软。所以不要太依赖杀软,注意它的滞后性。
× 所以,不要再说我不看片不接文件不上其他网站中招。看上面的点,你新装的系统只玩游戏,偶尔上百度查个“九阴真经 风水宝地在哪里”就可能误闯伪装成游戏站的钓鱼站点,通过浏览器0day无感中招。对方经常会上号看你包裹,只拿值钱的。这就解释了为什么你不充钱他不来,其实你帐号他早知道了。
× 还有一点,就是为什么他知道什么东西值多少钱。想想我作为黑客,专门入侵xxx省消防厅,伪装一个九阴真经游戏站在那里,各种seo刷百度排名吸引搜索九阴真经的人,然后植入专用木马(或者灰鸽子,这个次点了),那我能不知道什么东西值钱?
× 听到有人说,我电脑10几个游戏,其他都没丢,就九阴丢了,肯定是官方内部操作。 这个原理同上,不解释了。
总结就是,用动态密码(所谓牛盾)可以做到×××相对×××安全。
关于本人可信度,接触计算机安全13年。某大学研究所安全研究员,专精Linux/FreeBSD内核木马。表示业余写的木马用了3年,至今没有任何杀软查的出来。
安全游戏,注意用套。
此致。
再说防范
1. 不要用ie浏览器随便点网址,装个chrome或者firefox。主要因为:
a. ie浏览器0day太多,黑市1w-3w一个,基本半个月出一个,运气好的话微软半年都做不出补丁
b. 尽量不要用360安全神马的浏览器,还是ie内核。 如果非要用,选双内核的浏览器,看网页用chrome(webkit)内核,淘宝网银因为需要安全控件再切ie内核。
c. 不是说chrome和firefox没有0day,但相对比较少。
d. 百度搜索的时候注意点击之前先查看网址,如果一个**站点挂九阴的游戏攻略你感觉正常么? 再有就是如果搜游戏内容,尽量只点17173、duowan这样的知名站点
e. 还是,17173这样的大站也有可能被挂马,但相对比较少。
2. 试试非主流杀软。比如avast小红伞等。
挂马的黑客会定期给自己的木马做免杀,一般都只做主流杀软的。看我第一条就知道,他只要半个月更新免杀一次,你的杀软永远查不出来。
但注意非主流杀软有一定几率查的出来,但可能总体质量上比不上大厂商。自己权衡。
个人感觉杀软无用,中招就是中招。跳起来的清风不是好清风,不免杀的木马不是好木马。
3. qq收文件、邮件病毒这些就不用我讲了吧?注意一点,dns污染。
如果被dns污染,有可能是你自己中招,有可能是你寝室的室友中招用arp伪造网关强制修改dns服务器地址,也有可能是dns服务器或者你的网络供应商、校园服务器等中招,总之防不胜防。
症状就是,你在浏览器里输入taobao.com,结果却跳转去了另外一个伪装成和淘宝一模一样的钓鱼网站,你输入用户名密码即中招。
这个无解,怪你自己、室友、提供商、校园网管吧。 小心一些还是可以察觉出来的。
可以试试修改自己的dns服务器去google的公共服务器或者opendns,不过我不知道大陆可不可以用,我在国外没办法实验。
要用google dns的话右键网卡 属性,ipv4, dns服务器,输入
8.8.8.8. / 8.8.4.4
opendns的话自己搜吧。
嫌麻烦的跳过这一步。****而以。
4. 用软键盘。
木马为什么能知道你的帐号密码是因为一个叫做键盘记录的东西。 就是说你用物理键盘输入的任何东西,包括你和基友的激情,卑鄙无耻泡妹子的全过程都是可以被记录的。
但是,鼠标点击他是记录不了的。 注意登录游戏的时候 密码栏旁边有软键盘,点开后可以鼠标点击输入密码。这样键盘记录就没用了。 当然,如果黑客此时正好在监视你的屏幕的话,直接看到全过程。
缺点是,不要在网吧等公共场合用软键盘。会被别人看到的。我以前有个朋友专门在网吧看别人密码,手捂着在硬键盘上输入密码他都能看到。一圈下来5个游戏帐号密码倒背如流。
5. 密码强度。
这个必须得重复一下,弱密码确实是容易爆破的。别掉以轻心。这个适用所有帐号。
a. 不要用生日 -_- 你朋友都猜的出来
b. 不要用手机号、qq号。 我会告诉你上次我们研究报告里统计出来多少人用手机号码么?后果同上。
c. 求求你们了,不要1234567了。
---------c点分割线-----
这里补充一点,刚才看到有个朋友说蜗牛有加密,密码到数据库后是乱码保存,破解1234567也要几年时间是不准确的。
常见的加密算法有可逆和不可逆两种。 可逆就是你给我明文密码,我用特殊方法处理成加密串后,如果另外一个人也知道我用的加密算法,他是可以通过加密后的乱码得到原始明文密码的。
不可逆的也分两种,ha变成了一串理论上独一无二的乱码,就连我自己都没颁发逆向直到原始密码是什么。
但是,一定要有但是。一般hash算法都是公开的。蜗牛有自己算法的说法我完全不敢苟同。除非他请几个数学博士研究几年。常见的有md5 sha等等。 破解一般会采用暴力破解,就是拿到一串加密后的字符后用同样的算法算各种字母数字组合,得到密码串后和目标进行对比,如果相同那就恭喜你了。这个也叫字典破解,提高暴力破解效率的方式之一就是列举各种常见密码后一个一个实验,所以你那个1234567肯定是前排,妥妥的。
-------------------
d. 分享一个经验,非常非常非常非常有用和重要。 你怕密码太长太复杂记不住?随便想一句话,比如“今天天气真他么的好阿”,然后用拼音打‘jintiantianqizhentamehaoa'这多少位了?你给我猜?
如果要数字混合的也成, 'jintiantianqizhenj8hao'行么?张开你想象的翅膀阿亲~
e. 二级密码敢不敢和登录密码不一样? 不解释了。
f. 经常改密码是必要的,但不是唯一手段。
不废话了,这个话题太广,同志们自由发挥吧。你说再多还是有人用1234567和woaini1314的。
6. 密码找回。
这个只说一点,密码提示问题(找回问题)一定要自定义。 不要问你妈贵姓。娘的,我去你人人上看一下,你出生地生日中学名称不全来了?
问:请叫我达文西 答:好的文西。
求完美。
补充第五点:
尽量用唯一的密码,尽量与众不同。 为什么,因为如果你和某个人的密码是一样的,加密后你们两在数据库中的加密串也是一样的。黑客破解一个就可以抓出一堆。你想让别人中招你跟着遭殃么?
例外就是厂商使用salt或者random salt,这个和你没关系,蜗牛也不见得这么高级。想个牛逼拉风独一无二的密码最重要。所有网站帐号都是一样的。我会告诉你上次linkedin密码泄漏,里面有多少人密码是一样的么?买一送千阿亲~还包邮。
7. 牛盾。 凑齐七点去打酱油了。
必须用。 所谓动态密码,每分钟根据设备里的一个“钥匙”生成密码,服务器会根据另外一个“鸳鸯对钥匙”解码来确定密码是否正确。 那只有你这个设备生成的密码才可以被服务器验证通过。常见的算法有rsa等。这个依赖于大质数分解的复杂性,好点的机子真的得跑几年才能猜出来。
注意一点,不要用手机牛盾。尽量买官方硬件版吧,也不贵。 手机的问题在于大部分人都越狱了,我会告诉你多少cydia源里的软件包都挂了马么?我会告诉你你围脖号给别人群发广告是你手机中招么? 一旦你手机有问题,那就可以通过特殊手段拿到你的设备序列和牛盾的“钥匙”,rsa算法是开放的,分分钟写个模拟程序,没分钟和你生成一模一样的密码,你咬我?
不过呢,这个可能性就比较低了,要是有人能做到如此专业,那我已经无话可说了。所以还是买个牛盾吧。 总比丢银子强。
关于内部盗号,其实是有可能的。也有可能是蜗牛的验证系统存在缺陷。如果真存在那就是硬伤,不要再喷了,受得了留下,受不了就一路顺风。美其名曰双核运营,其实IT行业的人都知道,两个公司的人干一件事情,中间会有多少明争暗斗背后插刀。自求多福吧。
最后提醒大家一点,其实所谓盗号的“黑客”都没什么技术手段,我说的这些点他们都不一定懂。随便去网上学学木马什么的就能盗,根骨悟性高的3天速成。国外俗称这些人叫“script boy",脑残青年而以。 只知道用别人开发的软件和漏洞不停重复同样的动作,所以不要害怕,不要把他们想的太玄乎。保护好自己就不会被这样低级的所谓”技术“给坑到。
郑重声明,如果有人以上全做到了还是被盗号,m我qq跳大腿舞给安慰。
没有绝对的安全,只有相对的安全。还是那句话,安全游戏,开心,注意带套。
对了。想起以前看到的部分抱怨,这里附加特典吧,再送去马赛克补丁。
1。内部盗号、平台操作这些,技术上是可行的。我不能说是网游专业人士,只能说当年做过冰封和天龙私服的开发(不是抄,是和自己写)。sf运营也做过几年,买我们端的客户也接触很多。被gm坑的不计其数。当然,你可以说大企业规矩多防范强,但其实有人说越复杂的东西越脆弱。所以,我没办法证明你错,你也没办法证明我没道理。没必要喷了,每个人都有自己的见解,如果真是内部盗号,我们能做什么?
但是最好喷之前想清楚,分析一下被盗了具体是什么原因再说。这个世界上没有100%对的事情,你也最好不要100%确定地说什么事情,给自己留点退路。
×××××这里假定内部盗号不存在,那如何解释。。。××××××
q. 号没动,还在原地,仓库空了。
a. (勉为其难地讲)技术上唯一可能的方式就是蜗牛服务端缺陷,攻击者通过抓包分析得出绕过npc访问仓库的方法。注意这个是可能的,根据蜗牛的bug数量,我感觉如果真的存在,那利用起来不是什么问题。
q. 绑定装备没了?
a. 如果你确定对方不是卖了或者扔了,那只能是有特殊方式解绑,同样原理,服务端缺陷。
q. 几个朋友一起下本,打出xxx,集体下线被洗劫。
a. 这个有点太玄了吧。。。唯一可能是对方有你们所有人的号,注意你们很久了。。。。
×××××××××××××××××××××××××××××××××××××××××××××××
那假定内部盗号存在,就不用我来解释了吧?
其实良心话,国产网友低端在起跑线上。当年仿冰封的时候,光一个登录,服务端客户端加密解密好几次,抓了包没办法用,最好一点一点试出来的。。。
天龙就坑了,现在我不知道改进没有。感兴趣的下个wireshark试验一下,登录明文,聊天明文,指令是拼音或者拼音缩写。。。完全没有挑战性。
最后说一下,我不是什么高手,说我自己的背景只是为了说明我的点有一定的道理。当然你可以当我放屁,顶贴是为了分享心得,减少各位被盗的风险。欢迎一切意见建议,喷也行,算你帮我顶贴了。
以上。
不得不说蜗牛客服的态度和解决盗号的效率是我见过最差的。这可能也是大家这么愤怒的原因之一。但不要用谎言揭穿别人的谎言,那只能降低你的可信度,赢的还是最初撒谎的人。
作为玩家,保护好自己才是最重要的。蜗牛盛大双运营,那到底是谁去数据库里查你的帐号访问记录和装备删除记录?谁负责恢复?两个公司推来推去你也就只能骂客服了。其实他们是无辜的好不好。
刚才看到有人抱怨内部盗号,再来说一下技术上的可行性。这个只是证明平台操作的可能性,并不说明情况一定是这样的。
×××以下言论全部是假设,没有根据,只为证明内部操作的可能性×××
1。 平台操作
如果某员工有后台访问权限,那么他可以在不知道你密码的情况下修改你的仓库、装备、金、官银。这在数据库设计和系统设计中是完全可能,并且完全正常的。这些数据只是在数据库中某些表中的某些记录而以,修改不需要知道你的密码。但是如果企业有各种监视、日志、权限控制,那实现起来会难很多,我这里只说可行性。
再有,如果某人可以随便修改你数据库的信息,真的不如去复制官银了,没必要偷你的,除非九阴系统有官银总量日常自检的功能,内部人员为了避开检测只能偷。
2。 密码
有些人说你的密码是加密后储存在数据库里的,这样内部人员即使看到你的密码密文也没办法访问你的帐号。这个是不准确的。我来解释一下加密。
假设蜗牛的加密算法(不可逆算法)为M
假设你的密码是A
那么你在数据库中加密后的密文是A -----(M)-----> A1
那么在知道A1的情况下是无法还原成A的。所以无法正常访问你的帐号。
但是,一定要有但是。我可以做的是,假设我有数据库访问权限。
首先我用相同的算法加密一个已知的密码B
那么有B------(M)------>B1
然后我用B1替换你在数据库中的密文A1,替换前我将A1记录下来。
现在你的密码已经被更改了,我可以使用B登录你的帐号了。
接下来洗号然后将你的密码在数据库中替换回A1,神不知鬼不觉,你的密码还是你的密码,可你的东西木有了。
同样的道理,如果你绑定了牛盾,那我在数据库中先将你的帐户解绑牛盾,炮制上面的方法洗号,然后重新绑定牛盾。一样一样的。
以上只是为了说明内部操作的可行性,你非要辩内部规章制度我也没办法。还是我那句话,你证明不了我错,我也证明不了你没道理。 不要再说内部操作技术上不可能了,如果不服,可以来辩。
我个人不是很主张内部盗号的说法,以上只是想证明技术上是可行的。当然我感觉大家号被盗生气又不愿意承认是自己的问题所以嫁祸他人比较合乎逻辑。最重要的是保护好自己。
假设内部盗号和外部盗号同时存在,那咱们绑了牛盾先杜绝外部盗号不就行了。个人有个人的看法,但最终咱们也是要想办法保护自己。难道那些成天喊内部盗号的人都不玩了?
