8·25盗号事件追踪：FRY公会访谈录 - 游行天下


	贾图


	广陵侯谏议大夫 ★★★★

组别	翰林学士
级别	大将军
好贴	3
功绩	775
帖子	10924
编号	3282
注册	2003-12-13

发表于 2006-8-29 21:07 资料主页文集短消息只看该作者

8·25盗号事件追踪：FRY公会访谈录

8·25盗号事件追踪：FRY公会访谈录
来源： eNet游戏先锋　作者：eNet魔兽世界-Apollo 　日期： 2006/08/29 14:58




　　昨日，我们报道了CWOW出现大规模盗号事件（点击查看>>）。之后我们立即找到了受难最严重的公会FRY公会，我们的记者Apollo特约了FRY公会的会员进行独家专访。

　　8月25日，对大多数玩家来说是一个极其平常的日子。但对一区荣耀公会，FRY公会的朋友们来说，却是极其黑暗的一天。就在这天，2个公会的上百名玩家集体被盗号！消息一出，有如晴天霹雳一般，震颤众多玩家的心。笔者有幸在第一时间采访到了几位被盗号的玩家，下面是对FRY公会玩家“小小蜉蝣”的采访。

　　eNet：今天早上看到了你们FRY公会被大规模盗号的消息。哎！你心里挺难受的吧？

　　FRY-小小：这是肯定的，自己的心血。1年零4个月啊！

　　eNet：1年零4个月……老玩家了。/同情 /安慰你是何时发现自己的号被盗的？

　　FRY-小小：2次！22号早上发现了一次，只少了1200G 加上卖了我所有的东西，洗了我挖矿和工程2个生存技能，卖了我部分紫装蓝装和所有抗性装备，还算有点良心！

　　eNet：......那第2次就是25号晚上了？

　　FRY-小小：今天凌晨12点睡觉的时候，朋友给我打电话说我号有问题。我用手机取回密码上线，已经全身裸体，一点都不剩，太可怕了！

　　eNet：^%$^%$$#**！赏予卑鄙的盗号者！据说你们公会还有很多人在同一时间段也被盗了？

　　FRY-小小：我可以告诉你一个大概的数据,我们服务器大概40+ 。FRY在国王的服务器大概50左右，加上罗宁等等，人数至少3位数。加上小号仓库好所丢失的，我们失去的太多。你知道么？在和你对话的同时，我们工会开荒NAXX的一个法师妩媚星光，在TS说他被盗了，就这个时候。

　　eNet：天哪...这简直就是世界末日......不过，你的朋友们都有装双重密码吗？据说这个东西防盗还是不错的！

　　FRY-小小：形同虚设，我不知道这到底是为什么原因，很多玩家都在说，被盗这东西责任在玩家，因为ID一直在我们手里，其实我们确实缺少太多的防盗知识，我们现在需要的只是9C能提供，一个好的服务，比如有偿回档或者回复。一个ID的心血真的太多了！

　　eNet：可9C现在的规定里已经有了1年恢复一次的措施了，你们觉得这样的措施足够了吗？

　　FRY-小小：够？谁能保证自己的ID不被盗？我2月份的时候已经被偷过一次而且回复ID 2个礼拜的时间。效率慢不说而且很多东西不能回复，我曾经是我们服务器收集非战斗宠最多的人。可这些东西完全没给我回复，其实挺难受的。我花400G买的花羽鹦鹉买了N多可乐冲的小熊，这些根本就不在他们的恢复范围内。

　　eNet：这次被盗了之后你是否还会留在魔兽世界？如果留下是什么让你无法割舍的？

　　FRY-小小：我不知道我能不能坚持下去。很多人告诉我，9C在努力，朋友在努力，我想坚持，留下来和朋友一起玩，可是没有装备的支持拿什么和朋友去开荒NAX？拖累他们？累赘？除非还我装备，否则我不想成为这个累赘！

　　eNet：我谨代表enet魔兽世界向你，以及FRY公会以及所有被盗过号的同志表示最真挚的同情......让我们一起祈祷吧...希望这样的悲剧不要再发生！

　　另外几位接受采访的玩家除了悲伤和无奈之外，也十分希望9C能够修改目前一年只能申请恢复帐号一次的规定。9C出台这项规定，很大程度上是为了防止少数玩家故意分解装备，恶意要求9C多次恢复装备，从中谋取利益。但就CWOW运营的这一年多来看，这项规定并没有很好的完成制定者的初衷，反而大面积的扼杀了被多次盗号玩家想重泛游戏的想法。这样的规定合理吗？

　　当然，玩家被盗，自己也有责任。但面对这盗号技术突飞猛进，病毒木马漫天横飞的现状，难道要让WOW的每位玩家都去了解那些复杂烦琐的盗号知识吗？玩家究竟是来体验快乐还是来学习复杂计算机知识的？下面是荣耀公会服务器管理员凋零对本次盗号事件的一些分析。

　　***************************
　　我们分析了所有系统的参数传递规则
　　确实.4.0R3的Discuz论坛确实存在一个可被注入IFrame的漏洞.可惜我们的论坛版本并不是有漏洞的R3版本
　　虽然不是这版本.但是为了验论系统确实没有问题.我也做了一系统的攻击测试.并没有发现论坛的相关漏洞
　　而写我们的论坛是禁止上传GIF头像的.也就是说GIF的木马也是无法传递的
　　......
　　简单的说远程攻击者可以利用漏洞以WEB进程权限执行任意PHP命令。
　　具体情节是'dbal.php'脚本对用户提交的'eqdkp_root_path'参数缺少过滤
　　指定远程服务器上的任意文件作为包含对象,可导致以WEB权限执行任意PHP代码
　　***************************

　　上面所讲的东西众多玩家恐怕是无法理解的，虽然它针对的是DKP系统和论坛的管理员，但万一管理员疏忽了，处于被动位置的玩家们将会怎么样？后果不言而喻。再算上网吧被种木马，玩家私人计算机被侵入，游戏中被骗等等多种多样的情况都可能让玩家帐号被盗，在这漫长的一年，365天时间里，谁能保证不被盗号，或者只能保证被盗一次！你能？别人能吗？

　　话说回来，修改规定只是在表面上对玩家给予补偿，要想根本解决问题，必须从本质上着手。尽可能的让玩家汲取更多的防盗知识，不管这是被动的还是主动的。

　　目前，这次盗号风波基本上算是平息了。但涉及面之广实在触目惊心。光是目前已知被下木马的公会论坛数量就多的可怕：

　　***************************
　　一区各服共用论坛 FRY公会
　　一区山丘之王荣耀公会
　　一区山丘之王暴风铁骑公会
　　一区达纳斯 Dreaming League公会
　　一区白银之手燃魂工会
　　一区山丘之王 Speed神话公会
　　一区国王之谷自由领域公会
　　一区燃烧平原菜鸟兄弟会公会
　　一区国王之谷黑色守护者公会
　　一区索瑞森龙腾盛世公会
　　一区卡扎克魔域帝国公会
　　一区莫德古得 Tornado公会
　　一区奥蕾利雅 times公会
　　一区伊瑟拉灵魂归宿公会

　　二区艾露恩赤焰铁骑公会
　　二区拉纹凯斯英雄公会

　　三区埃德萨拉光明神话公会
　　三区符文图腾逍遥游公会
　　三区符文图腾 The Hero公会
　　三区回音群岛 BTRIAD公会
　　三区红云台地泡泡天国公会

　　四区乌瑟尔王者之刃公会
　　四区银月部落领域公会
　　四区霜之哀伤失落的荣耀公会
　　四区耐奥祖凤凰令公会

　　五区世界之树 BRAVE HEART公会
　　五区元素之力 ShadowTeam公会
　　五区守护之剑霜狼荣耀公会

　　***************************

　　笔者最好的网友也因盗号而离开了深爱的艾泽拉斯，因此特别能理解被盗号的玩家和其好朋友们此时的感受。试想那一颗颗像被刀绞一般的心，一双双欲哭无泪的眼睛，我们这些旁观者在庆幸自己幸免于难的同时，我们能为他们做些什么呢？亡羊补牢，为时未晚。请您积极参与下面的投票，或者发表您的见解。它们将做为敦促代理商修改不合理规定的依据，并希望能加速一系列防盗号措施的出台。

　　路有点长夜有点微凉，心情迷迷惘惘和寂寞交换沮丧。天边星辰忽明又忽暗，哪一颗最能照亮心房。梦和理想的心坚持不忘，雾里曙光绽放希望。有你一切都变得不一样，谢谢你给我温暖脆弱时候在我身旁，谢谢你陪我成长路上风风雨雨，不怕荆棘失望，有你在身旁心更坚强。愿艾泽拉斯不再回响你哭泣叹息的声音，愿那些无奈的离别不再出现！

玩家调查

调查结果　　　　　　2006/08/29
对于目前同一个帐号一年只能恢复一次的规定，你觉得合理吗？
合理　　— 4.19%

不合理　　— 95.81%

如果此规定修改，你能接受下面哪一种新规定？
一年恢复2-3次　　— 25.52%

一年免费恢复1次，但可以通过付费的方式恢复多次　　— 74.48%

按目前情况看，你认为代理运营商需要无偿为玩家提供更多的防盗服务吗？
需要　　— 98.55%

不需要　　— 1.45%

你认为目前“pin码”这个防盗措施令你满意吗？
满意　　— 7.72%

不满意　　— 92.28%

如果开发更多的防盗措施，你希望是下面哪一种？
银行物品取出需要输入新的密码　　— 3.51%

分解装备需要输入新的密码　　— 2.63%

摧毁物品需要输入新的密码　　— 1.46%

以上都希望　　— 92.40%

[广告] 《精忠报国岳飞传完整版》火热发布