PIN码形同虚设！魔兽世界帐号安全堪忧 - 游行天下


	首席屠宰官 (鲁吹一号)


	隐鲁郡王 ★

组别	轩辕公主
级别	大将军
好贴	2
功绩	172
帖子	11073
编号	12
注册	2003-8-19

发表于 2006-8-29 15:14 资料个人空间短消息看全部作者

服务器端再好的防护设施也只能防别人的破解

你自己这边被种上木马怪谁呢？

只能怪你自己保护不严

中情局的防护严不严？
只要有个内部人士告诉我帐号密码给我所需的电子钥匙一类的东西，我这个丝毫不懂破解的人一样可以上取下载秘密信息

ps：看了贾图的签名，看来贾图是非常反感9c了，其实wow服务器当机、卡的问题主要在暴雪，服务器端程序运行效率问题，o服、美服一样大规模当机，甚至有玩家去电玩展示威

[ 本帖最后由首席屠宰官于 2006-8-29 15:18 编辑 ]

[广告] 真诚支持说岳，携手共创辉煌


	首席屠宰官 (鲁吹一号)


	隐鲁郡王 ★

组别	轩辕公主
级别	大将军
好贴	2
功绩	172
帖子	11073
编号	12
注册	2003-8-19

发表于 2006-8-29 17:54 资料个人空间短消息看全部作者

QUOTE:

原帖由贾图于 2006-8-29 17:32 发表
晕，我的签名与9C有什么关系？

什么叫保护不严？大脚插件是中国WOW官方网站提供的，这个插件在升级过程中被中了木马能怪玩家？当然是官网的责任！

当机当然是正常的事情，OF、MF、TF当机都是家常便饭。但 ...

9成玩家抗议也只能说明9成的玩家没看到问题本质阿

至于5区用了mu的服务器更是造谣，也是玩家看不清问题的证明

9c与暴雪代理合同规定的9c必须用暴雪指定的hp服务器，整个大区都不遵守合同约定，你当暴雪是傻子啊？

这次的大规模盗号事件是盗号者通过各个工会bbs植入的木马，被盗号的多集中在特定的工会中，关9c什么事儿？

ps：wow我还玩，最近没上游戏，但是网站论坛都上，等1.12版上线泡战场，可惜延期到9.19更新了

[ 本帖最后由首席屠宰官于 2006-8-29 18:05 编辑 ]

[广告] 安装Alexa工具条，提高轩辕排名，支持轩辕发展！


	首席屠宰官 (鲁吹一号)


	隐鲁郡王 ★

组别	轩辕公主
级别	大将军
好贴	2
功绩	172
帖子	11073
编号	12
注册	2003-8-19

发表于 2006-9-2 21:50 资料个人空间短消息看全部作者

秋天来了？

　　8月下旬，对于wow玩家来说，这个炎热的季节却更象是一个属于魔鬼的秋天。在没有任何预兆的情况下，一些凝聚着几代人成长的公会都象成熟的稻田一样看到了命运的镰刀——一排排、一竖竖的倒下了。他们失去了代表他们自己的wow帐号！公会仓库被洗劫；主坦克在城市中穿着睡衣象落叶一样瑟瑟发抖；人人都倒抽一口冷气，额头冒着冷汗——这整个过程就象来得过早的秋天一样让人不可思意，但它确实来了！至于这些公会，现在就象秋天丰收后的农田，荒秃秃的。

　　一时之间遭到集体盗号的公会和9c的客服同时都乱了手脚，各个公会也都是人心惶惶。人们面对自己的电脑就象在面对撒旦！点击进入游戏就象玩赌博般的心跳。最后，通过各方面技术人员的努力，当这一批羔羊最终找到了为什么被盗号的原因之后，在他们象成熟的麦田被那些在网络世界中如蛆虫般生存的盗号黑客收割以后。在为自己的帐号、装备和材料物资悲痛以后，我们应该想一想这样一个问题：“谁应该为这次灾难买单？”

　　首先大家回忆下历史上的木马屠城吧。木马计确实高明，高明的是希腊人抓住了敌人在以为获得胜利后的麻痹大意。在特洛伊城门的守卫也在狂欢畅饮的最后沉沉的睡去之后，特洛伊牢不可破的大门才向希腊人打开了——发生了大量公会集体被盗号的问题，真正的原因不是有的论坛上传言的由于木马变种，而是那些被盗号的公会对eQdkp系统的倚赖所导致的！eQdkp系统并不是由专门的技术团队来管理和维护的，每次eQdkp新的版本放出就是为了修改原来的版本的漏洞并同时在升级的时候放出对原来版本漏洞的改变说明。而且何时升级都是玩家自己取决。很多被盗号的公会都是因为没及时的给dkp升级。然而盗号的黑客却没有放过这个稍纵及失的机会！这些贪婪丑恶的人，迅速的利用原来的dkp的漏洞入侵了这些公会的论坛然后放下Rising病毒！就象在春天播下种子一样——当这这个夏天所有公会正在努力发展的时候，那些偷袭得手的黑客已经在暗地里奸笑着的磨起了他们那肮脏的镰刀。
　　
　　在现在看来，黑客的手段可以说是防不胜防了。一丁点漏洞都可以成为你帐号致命的终结！这次大规模的被盗号只要涉及到eQdkp系统没有修正bug的网站.基本上无一幸免！甚至包括国内一些知名的公会网站，包括一些公会自己做的网站，和门户性的公会网站也大意失了荆洲（比如：XX网和XX网）。所以这就不光是玩家为自己平时疏于防范，对网络安全认识薄弱付出的惨痛代价的案例了。也同样意味着这是公会管理者对公会网络资源管理中存在操作疏忽而带来的严峻后果。

　　但是，wow的公会本来就是民间性的团队合作，就算有的公会有能力优秀的技术人才，可又有多少人真正有网络安全管理的经验呢？加上黑客越来越善于利用网络安全漏洞的种种新颖手法。所以这些可怜的孩子，注定成为了eQdkp系统的漏洞的牺牲者了，丢失帐号就象走失了宠物一样让人很遗憾。对于这次的事件，可以说是多方面综合因素造成的。而这些综合因素统统指向一个固定的事实——没有专业团队维护和管理的Dkp系统。

　　然而，玩家永远是玩家，大家都想玩游戏变得更加方便，更轻松。没有人想每次玩游戏之前都填成吨的表格，让自己的电脑象中世纪重骑兵一样烦琐的套上层层保护。所以，我认为对于wow玩家和公会来说。有一个健全的并且有专业团队维护和管理的dkp系统是非常有帮助的。象国内的梦幻岛dkp系统（http://www.dkp.com.cn），有专门的技术人员长期维护检查公会论坛；长期的检查现有的dkp系统是否存在漏洞；并及时的统一将论坛的dkp版本升级。这样以来，不单是为公会管理人员减轻了负担为玩家提供了便捷，还为玩家们带来了最重要的部分——网络安全！
　　
　　对于这次的大规模wow帐号丢失，确实是让人心痛。但吃一亏应该长一智，这次的事件已经敲响了国内常用的eQdkp系统安全隐患的警钟。我们再也不能麻痹大意的成为那些网络蛆虫盗号黑客的掠夺目标了，现在的网络安全问题再不重视的话就要吃大亏了。真正的秋天就要来了，我们玩家也应该自己成熟进步起来，要忘羊补牢啊朋友们！不要再当没有遮拦的稻田！不要再让自己成为羔羊！

[广告] 真诚支持说岳，携手共创辉煌


	首席屠宰官 (鲁吹一号)


	隐鲁郡王 ★

组别	轩辕公主
级别	大将军
好贴	2
功绩	172
帖子	11073
编号	12
注册	2003-8-19

发表于 2006-9-2 21:52 资料个人空间短消息看全部作者

昨日，我们报道了CWOW出现大规模盗号事件（点击查看>>）。之后我们立即找到了受难最严重的公会FRY公会，我们的记者Apollo特约了FRY公会的会员进行独家专访。

　　8月25日，对大多数玩家来说是一个极其平常的日子。但对一区荣耀公会，FRY公会的朋友们来说，却是极其黑暗的一天。就在这天，2个公会的上百名玩家集体被盗号！消息一出，有如晴天霹雳一般，震颤众多玩家的心。笔者有幸在第一时间采访到了几位被盗号的玩家，下面是对FRY公会玩家“小小蜉蝣”的采访。

　　eNet：今天早上看到了你们FRY公会被大规模盗号的消息。哎！你心里挺难受的吧？
　　FRY-小小：这是肯定的，自己的心血。1年零4个月啊！

　　eNet：1年零4个月……老玩家了。/同情 /安慰你是何时发现自己的号被盗的？
　　FRY-小小：2次！22号早上发现了一次，只少了1200G 加上卖了我所有的东西，洗了我挖矿和工程2个生存技能，卖了我部分紫装蓝装和所有抗性装备，还算有点良心！

　　eNet：......那第2次就是25号晚上了？
　　FRY-小小：今天凌晨12点睡觉的时候，朋友给我打电话说我号有问题。我用手机取回密码上线，已经全身裸体，一点都不剩，太可怕了！

　　eNet：^%$^%$$#**！赏予卑鄙的盗号者！据说你们公会还有很多人在同一时间段也被盗了？
　　FRY-小小：我可以告诉你一个大概的数据,我们服务器大概40+ 。FRY在国王的服务器大概50左右，加上罗宁等等，人数至少3位数。加上小号仓库好所丢失的，我们失去的太多。你知道么？在和你对话的同时，我们工会开荒NAXX的一个法师妩媚星光，在TS说他被盗了，就这个时候。

　　eNet：天哪...这简直就是世界末日......不过，你的朋友们都有装双重密码吗？据说这个东西防盗还是不错的！
　　FRY-小小：形同虚设，我不知道这到底是为什么原因，很多玩家都在说，被盗这东西责任在玩家，因为ID一直在我们手里，其实我们确实缺少太多的防盗知识，我们现在需要的只是9C能提供，一个好的服务，比如有偿回档或者回复。一个ID的心血真的太多了！

　　eNet：可9C现在的规定里已经有了1年恢复一次的措施了，你们觉得这样的措施足够了吗？
　　FRY-小小：够？谁能保证自己的ID不被盗？我2月份的时候已经被偷过一次而且回复ID 2个礼拜的时间。效率慢不说而且很多东西不能回复，我曾经是我们服务器收集非战斗宠最多的人。可这些东西完全没给我回复，其实挺难受的。我花400G买的花羽鹦鹉买了N多可乐冲的小熊，这些根本就不在他们的恢复范围内。

　　eNet：这次被盗了之后你是否还会留在魔兽世界？如果留下是什么让你无法割舍的？
　　FRY-小小：我不知道我能不能坚持下去。很多人告诉我，9C在努力，朋友在努力，我想坚持，留下来和朋友一起玩，可是没有装备的支持拿什么和朋友去开荒NAX？拖累他们？累赘？除非还我装备，否则我不想成为这个累赘！

　　eNet：我谨代表enet魔兽世界向你，以及FRY公会以及所有被盗过号的同志表示最真挚的同情......让我们一起祈祷吧...希望这样的悲剧不要再发生！

[广告] 安装Alexa工具条，提高轩辕排名，支持轩辕发展！


	首席屠宰官 (鲁吹一号)


	隐鲁郡王 ★

组别	轩辕公主
级别	大将军
好贴	2
功绩	172
帖子	11073
编号	12
注册	2003-8-19

发表于 2006-9-2 21:55 资料个人空间短消息看全部作者

另外几位接受采访的玩家除了悲伤和无奈之外，也十分希望9C能够修改目前一年只能申请恢复帐号一次的规定。9C出台这项规定，很大程度上是为了防止少数玩家故意分解装备，恶意要求9C多次恢复装备，从中谋取利益。但就CWOW运营的这一年多来看，这项规定并没有很好的完成制定者的初衷，反而大面积的扼杀了被多次盗号玩家想重泛游戏的想法。这样的规定合理吗？

　　当然，玩家被盗，自己也有责任。但面对这盗号技术突飞猛进，病毒木马漫天横飞的现状，难道要让WOW的每位玩家都去了解那些复杂烦琐的盗号知识吗？玩家究竟是来体验快乐还是来学习复杂计算机知识的？下面是荣耀公会服务器管理员凋零对本次盗号事件的一些分析。

　　***************************
　　我们分析了所有系统的参数传递规则
　　确实.4.0R3的Discuz论坛确实存在一个可被注入IFrame的漏洞.可惜我们的论坛版本并不是有漏洞的R3版本
　　虽然不是这版本.但是为了验论系统确实没有问题.我也做了一系统的攻击测试.并没有发现论坛的相关漏洞
　　而写我们的论坛是禁止上传GIF头像的.也就是说GIF的木马也是无法传递的
　　......
　　简单的说远程攻击者可以利用漏洞以WEB进程权限执行任意PHP命令。
　　具体情节是'dbal.php'脚本对用户提交的'eqdkp_root_path'参数缺少过滤
　　指定远程服务器上的任意文件作为包含对象,可导致以WEB权限执行任意PHP代码
　　***************************

　　上面所讲的东西众多玩家恐怕是无法理解的，虽然它针对的是DKP系统和论坛的管理员，但万一管理员疏忽了，处于被动位置的玩家们将会怎么样？后果不言而喻。再算上网吧被种木马，玩家私人计算机被侵入，游戏中被骗等等多种多样的情况都可能让玩家帐号被盗，在这漫长的一年，365天时间里，谁能保证不被盗号，或者只能保证被盗一次！你能？别人能吗？

　　话说回来，修改规定只是在表面上对玩家给予补偿，要想根本解决问题，必须从本质上着手。尽可能的让玩家汲取更多的防盗知识，不管这是被动的还是主动的。

　　目前，这次盗号风波基本上算是平息了。但涉及面之广实在触目惊心。光是目前已知被下木马的公会论坛数量就多的可怕：

　　***************************
　　一区各服共用论坛 FRY公会
　　一区山丘之王荣耀公会
　　一区山丘之王暴风铁骑公会
　　一区达纳斯 Dreaming League公会
　　一区白银之手燃魂工会
　　一区山丘之王 Speed神话公会
　　一区国王之谷自由领域公会
　　一区燃烧平原菜鸟兄弟会公会
　　一区国王之谷黑色守护者公会
　　一区索瑞森龙腾盛世公会
　　一区卡扎克魔域帝国公会
　　一区莫德古得 Tornado公会
　　一区奥蕾利雅 times公会
　　一区伊瑟拉灵魂归宿公会

　　二区艾露恩赤焰铁骑公会
　　二区拉纹凯斯英雄公会

　　三区埃德萨拉光明神话公会
　　三区符文图腾逍遥游公会
　　三区符文图腾 The Hero公会
　　三区回音群岛 BTRIAD公会
　　三区红云台地泡泡天国公会

　　四区乌瑟尔王者之刃公会
　　四区银月部落领域公会
　　四区霜之哀伤失落的荣耀公会
　　四区耐奥祖凤凰令公会

　　五区世界之树 BRAVE HEART公会
　　五区元素之力 ShadowTeam公会
　　五区守护之剑霜狼荣耀公会

　　***************************

　　笔者最好的网友也因盗号而离开了深爱的艾泽拉斯，因此特别能理解被盗号的玩家和其好朋友们此时的感受。试想那一颗颗像被刀绞一般的心，一双双欲哭无泪的眼睛，我们这些旁观者在庆幸自己幸免于难的同时，我们能为他们做些什么呢？亡羊补牢，为时未晚。请您积极参与下面的投票，或者发表您的见解。它们将做为敦促代理商修改不合理规定的依据，并希望能加速一系列防盗号措施的出台。

　　路有点长夜有点微凉，心情迷迷惘惘和寂寞交换沮丧。天边星辰忽明又忽暗，哪一颗最能照亮心房。梦和理想的心坚持不忘，雾里曙光绽放希望。有你一切都变得不一样，谢谢你给我温暖脆弱时候在我身旁，谢谢你陪我成长路上风风雨雨，不怕荆棘失望，有你在身旁心更坚强。愿艾泽拉斯不再回响你哭泣叹息的声音，愿那些无奈的离别不再出现！

[广告] 《精忠报国岳飞传完整版》火热发布