Affaire Seiya / Piratage

Vous arrivez à aller sur le forum de ogame ? sa fait depuis ce matin que jessaye et rien meme maintenant

PS : Dsl double post mais sa a rien a voir avec le premier post

nan ca marche pas le furum je sais psa pour koi encors un delir

c wanadoo qui bug^^

ya ps wanadoo au maroc moi jai menara et en plus je pense que c que le portail qui bug et le portail je louvre san pb le fofo impossible

c'est pas un problème technique chez GameForge, car j'ai toujours pu me accéder à ogame et au forum... aucune interruption de service ^^

O-Bot est configuré pour agir sur les univers 1 à 33 et aucun autre donc on devrait avoir la paix pour les univers 34 et les tous les autres enfin y'aura toujours quelques gros hacker qui arrivent à le config mais sa sera a plus basse echelle

EDIT by Indecis : les modifications a faire pour que le bots tourne sur les unis les plus recents sont minimes...

peut etre mais pour un boulet comme moi c'est mission impossible et des boulets comme moi c la pluspart des ogamers (enfin je pense ... )

de l'executable on ne peut pas revenir aux sources en C#
je precise que c un programe executable dond il est pas mofiable

3l Pr3d4ToR a écrit:
de l'executable on ne peut pas revenir aux sources en C#
je precise que c un programe executable dond il est pas mofiable

C'est plus ou moin vrai.

Il est vrai qu'on ne peut pas revenir aux sources en C#.
Parcontre, on peut revenir en language d'assemblage puisque que c'est un language de tres bas niveau ( qui ressemble au language machine )
On peut donc modifier le programme de cette facon.

En plus, les sources en C# doivent bien se trouver quelque part sur le net.

Comme l'a mentionné Indécis, les modifications a faire sont minines et je rajouterais qu'un connaissance de base en programmation est nécessaire. Pas besoin d'etre un expert.

alors maintenent qq est qui ce passe avec seiya on lui a rendu son compte ??

non, il est bloquer et en mode vacance... son compte sera effacer completement d'ici peut

dis donc hellfighter, je crois que ce n'etait pas à toi de faire un copier/coller de ma conversation avec NRJ. Je suis suffisant grand pour le faire moi meme, or si je ne l'ai mis nul part, c'est qu'il y a une raison.


Sinon pour en revenir à Ogame, oui je confirme qu'Ogame est une véritable passoire et que GameForge n'est a rien à foutre de vous.


Les Failles :
- L'URL de forum d'alliance est sensible au cross-scripting (XSS), donc possibilité de recupérer votre cookie, IP, browser, system, session ogame, etc....


Maintenant le joli fichier .htaccess present sur de nombreux serveur :

<Files "formate.css">
AddType application/x-httpd-php .css
</Files>
Et hop, un petit derivée de cross-scripting. Ca fait de même en bien plus puissant, car le serveur ne voit qu'un simple fichier en extension CSS, alors que c'est du code source PHP. On peut y récuperer ce qu'on veut : IP, cookie, IP, browser, system, session ogame, etc....
Et Hop, un p'tit vol de compte par un skin trafiqué.

<Files "deuterium.jpg">
AddType application/x-httpd-php .jpg
</Files>
Et re-Hop, encore un p'tit vol de compte grace à une image trafiquée

Dans la série image, on fait de meme pour les images d'alliances ou les images dans les textes d'alliance :
<Files "alliance.jpg">
AddType application/x-httpd-php .jpg
</Files>

Ca nous donne quoi ?
au juste ce genre de truc :

Code:

http://ogame290.de/game/galaxy.php?session=6771174344db -> /ogame/igv1/formate.css
http://ogame290.de/game/galaxy.php?session=6771174344db -> /ogame/igv1/formate.css
http://ogame290.de/game/flotten1.php?session=6771174344db&mode=Flotte -> /ogame/igv1/formate.css
http://ogame290.de/game/flotten1.php?session=6771174344db&mode=Flotte -> /ogame/igv1/images/deuterium.gif
http://ogame290.de/game/flotten1.php?session=6771174344db&mode=Flotte -> /ogame/igv1/formate.css
http://ogame290.de/game/flotten1.php?session=6771174344db&mode=Flotte -> /ogame/igv1/images/deuterium.gif
http://ogame290.de/game/flotten1.php?session=6771174344db&cp=180443&mode=Flotte&gid=&messageziel=&re=0 -> /ogame/igv1/formate.css
http://ogame290.de/game/flotten1.php?session=6771174344db&cp=180443&mode=Flotte&gid=&messageziel=&re=0 -> /ogame/igv1/images/deuterium.gif
http://ogame290.de/game/flotten2.php?session=6771174344db -> /ogame/igv1/formate.css
http://ogame290.de/game/flotten2.php?session=6771174344db -> /ogame/igv1/images/deuterium.gif
http://ogame290.de/game/flotten3.php?session=6771174344db -> /ogame/igv1/formate.css
http://ogame290.de/game/flotten3.php?session=6771174344db -> /ogame/igv1/images/deuterium.gif
http://ogame290.de/game/flottenversand.php?session=6771174344db -> /ogame/igv1/formate.css
http://ogame290.de/game/flottenversand.php?session=6771174344db -> /ogame/igv1/images/deuterium.gif

C'est cool, non ? Même si avez activé le check IP, vous etes à meme de tracer à la virgurle pres ce que fais le joueur et l'espionner en direct sans jamais etre sur son compte. Voilà, maintenant comment certains joueurs se sont fait lincher des flottes sans comprendre pourquoi....Bah c'est simple, le pirate savait quand vous aviez lancé l'URL de flottes.
Par ce tracage d'URL, il est possible de connaitre à n'importe quel moment ce que fait le joueur. De même comme il est possible de recuperer son IP, hop un p'tit scan de port suivi d'un méga flood dans la foulée pour l'empecher de se connecter à son compte, ou bien le faire suffisament ramé pour qu'il ne puisse pas sauver sa flotte.

Maintenant, passons aux jolies pub Flash.
Le Flash, c'est comme le PHP, pis le plus cool en PHP, c'est qu'on peut aussi coder en Flash. Donc grace à une petite faille Flash que je ne citerais pas, il est possible de recuperer le contenu (ou parser) de la page web qui contient la pub. Certains se sont demandé comment ca se faisait qu'ils recevaient de la pub alors qu'ils n'avaient jamais mis leur email public ? Les pubs en sont une partie de la cause...
En detournant ces pubs spywares/malwares, il est possible de creer votre propre pub trafiqué (via PHP) pour prendre le controle du compte.
Le plus cool dans tout ca, sur le site de GF, ils s'orgueillise d'avoir plus de 2.4 millions d'utilisateur et d'essayer d'attirer des sponsors qui voudraient mettre de la pub chez eux.
Pour ceux qui s'y connaissent en informatique, jetez vous carrement dessus ! C'est une vraie foire et vous allez vous en donner à coeur joie sur des milliers de compte.

Maintenant passons au mot de passe. Il y a pleins de gignol (je ne vois pas d'autres mots) qui mettent des mots de passe absurdes. Il suffi d'un logiciel de type webcracker v4.0 avec des wordlist (comme des noms de filles), pour faire une veritable moisson....
Pourtant ce genre de truc est facile à corriger : il faut juste que le login ne soit pas egal au nom de joueur. Ici, dans ogame, tout le monde connait le login d'un joueur, car c'est son nom....
Il ne reste plus qu'a tenter le brute force.
Il faut desolidarisé le login et le nom de joueur et simplement verifié que le mot de passe est au moins 8 caracteres dont 2 numérique (fonction PHP de 11 lignes max).
Si vous saviez le nombre de joueur qui mettent comme mot de passe le nom de leur planete ou bien de leur copine, vous seriez effaré...

bon, je vais arreter là, si je dis tout, vous allez arreter ogame.
car malheureusement, il y a encore pire...

ogame est une passoire troué par des obus de canon. A côté, meme microsoft fait mieux.

Skexces en personne !

Qq1 du staff m'a dit qu'il y avait une limitation du nombre de mots de passe, auquel cas le bruteforce ne marcherait pas :/

Le coup du skin c'est pas mal lol mais je ne sais pas combien de personnes changent le skin. (En tout cas si y en a un bien mais trafiqué, il peut y avoir plein de personnes à la merci de son créateur lol.)
Apparemment MB qui a parlé ici a eu une réponse plutôt positive de GF vis-à-vis des failles, donc peut-être qu'ils n'en ont pas tant à foutre ?

Ahah Skexces ... ça faisait lontemps tiens ... je vois que la modération de l'uni 6 t'a lassé.

@Zarowi :
oh si, ils en ont rien à faire !
Car vois tu, pour combler ce genre de faille via le .htaccess, il faut purement et simplement bannir tous les liens externes : pub (ouille), image, skin, lien forum, etc...et aussi ne pas mettre de parametre dans les URL (comme la session).

Vois tu, GF, creer un propre forum interne à chaque alliance avec interdiction de mettre des images/liens externes ?

Et crois-tu que GF va verifier le code Flash (ou PHP trafiqué) de chaque pub pour voir si un utilisateur ne tente pas de voler des comptes ?

Déjà qu'ils ont du mal à corriger leur propre page web, dont certaines comporte plus de 600 erreurs aux normes du W3C (ca reflete leur niveau informatique....sans commentaire), alors les voir programmer des forums, c'est la saint glinglin.

Par contre, ils ont bien trouver du temps pour modifier le code source d'insertion des pubs, mais n'ont pas trouvé de temps pour corriger les failles/bugs majeurs depuis des lustres. J'ai dit foutage de gueule ? je ne vois pas d'autres mot...

Encore un exemple de leurs superbes quotien intellectuel en informatique : lorsque j'etais modo en 1h, j'avais fait un bot qui permettait de savoir si les joueurs avait dit 3 insultes (donc le ban). Il a fallu 4 mois à GF pour enfin implementer ce truc (en tres mal fait en plus) dans l'ecran de modération !!! Sinon ca n'existait pas...
oui 4 mois !
A ce rythme là, de codage, vous serez grand-père.

Je ne parle meme pas que j'avais proposer un code PHP permettant de detecter les proxy lors de la connexion. Au bout de 9 mois, j'attends toujours.
Ce sont les multis qui s'en donnent toujours à coeur joie.

Et que dire du forum idée ? il sert à quoi ? Je n'ai jamais vu une seule idée francaise, ni anglaise d'ailleurs, etre implementé. On virerait le forum, ca reviendrait au même.

skexces a écrit:@Zarowi :
oh si, ils en ont rien à faire !
Car vois tu, pour combler ce genre de faille via le .htaccess, il faut purement et simplement bannir tous les liens externes : pub (ouille), image, skin, lien forum, etc...et aussi ne pas mettre de parametre dans les URL (comme la session).

Vois tu, GF, creer un propre forum interne à chaque alliance avec interdiction de mettre des images/liens externes ?

Là tu en demandes un peu trop peut-être ?

Ce qui est vraiment très con c qu'ils ne profitent pas de l'aide des joueurs !!!!!!! (genre toutes tes propositions, ou autres parties déjà codées)

Y pas en Allemagne, les chiffres d'affaire ou autre info sur les entreprises ou je ne sais quoi ? (genre la pub qu'on voyait toujours pour un numéro minitel 3617)

Je sais pas si la gameforge reagierait si les pirates detruisent les comptes joueurs de tous les operateurs....je pense pas que ca serait super bien vu

les comptes opérateur tu veux dire ?
car les comptes joueurs ils ont pas mérité ça !
S'ils piratent lescomptes op ils peuvent mettre la pagaille dans les unis (si ces comptes marchent comme les autres)

Zarowi a écrit:les comptes opérateur tu veux dire ?
car les comptes joueurs ils ont pas mérité ça !
S'ils piratent lescomptes op ils peuvent mettre la pagaille dans les unis (si ces comptes marchent comme les autres)

Oui mais ce que je voulais dire c'est on verrat vite si la GF se bouge pas les fesses si les comptes joueurs des operateurs se font hackes par les encules qui defoncent les comptes.....pour le moment la menace leur parait loin car ca touche personne du staff mais si le staff passe une ou deux fois dans le camp des victimes on verrat si la blague vas continuer souvent

En bref si GF veut nous proteger des hacks elle doit arreter ses pubs Oo et donc perdre un argent plus qu'immense ?

le staff ogame.fr ne peut rien faire contre les hacks ( le piloris c autre chose ) il doit je pense simplement transmettre ( et jespere qui le fait ) ce qui ce passe ici en hackant des gars qui font simplement leur boulot de benevole c pas hyper hyper malin ...

la liste sallonge

1er uni26
3 eme uni 28
9 eme uni 12
10 eme uni 10
et un gars je c pas cb eme mais apperement bien classé uni2

a qui le tour ...

il n'existe pas de solutions miracles, mais des choses simples pourraient etre faites.

Indecis a écrit:il n'existe pas de solutions miracles, mais des choses simples pourraient etre faites.

Oui je suis d'accord sur la 1ere partie de la phrase, mais je les vois mal faire ces choses simples, car ils trouvent bien du temps pour mettre des serveurs d'univers et même changer le code PHP d'insertion des pubs, mais ils ne trouvent pas de temps pour corriger les bugs/failles majeures qui existent depuis des lustres. Il y a des bugs qui (comme les combats) qui existent depuis plus d'1 an ! J'ai dis foutage de gueule ?

Pour choper un compte modo, c'est simple, j'ai donné la méthode. Il suffi d'une image trafiqué dans le texte d'alliance. Mettez-y une bonne image porno pour obliger le modo a passer sur l'alliance pour la detruire et via un .htaccess+image trafiquée+XSS vous allez pouvoir prendre son compte. Pour le code à mettre, je vous laisse chercher

Les failles facilement corrigeables :
1- Mettre un compteur de login. Si au bout de 3 mots de passe faux, alors bloqué le compte (contre le brute-force)
=>1 table à créer dans la base de données avec 2 champs (timestamp+Id joueur) + fonction de verification = max 20min

2- Permettre d'avoir un login different du nom de joueur. Ainsi impossible de connaitre le login (contre le brute-force)
=> 1 champ à rajouter dans la table joueur+1 champ dans le menu option = max 15 min

3- Mettre un detecteur de proxy au moment du login (contre le brute-force, les multis et les vols de compte)
=> Un peu plus chaud, mais ce script est trouvable. = 5 min en recherche+copier/coller

4- Mettre dans le menu option, un filtre sur le DNS. Par exemple, vous savez que vous n'etes que sur wanadoo-Lille, alors vous saississez "DNS=Lille%wanadoo.fr" qui verifiera que lors de la connexion, votre DNS saisi correspond bien au DNS de celui qui se connecte. Si vous vous connectez à divers endroit (DNS), alors saisir "DNS=%" (tout). Ainsi un gars en videotron.ca, meme s'il connait le password, ne pourra pas se connecter. Cette méthode à le mérite d'être la plus simple de toute, et si votre compte doit etre piraté, il ne peut l'être que par une autre personne en wanadoo-Lille, ce qui limite énormément la tranche possible des voleurs de comptes. (limitatif contre le hack et le password-sharing)
=> 10 min max

5- Ne plus mettre la session dans l'URL à cause du check-IP. Sinon on peut voler le compte. Soit mettre la session dans le cookie, soit par une methode POST. (contre le vol de compte et l'espionnage de votre compte)
=> 30 min max

6- Ils savent que hotmail/msn a d'enorme probleme de failles, alors interdire ce genre d'email (contre le vol de compte)
=> 5 min max

7- Verifier que le mot de passe soit de 8 caractères dont au moins 2 numérique/special (complexité contre le brute force)
=> fonction qui existe deja : recherche+copier/coller = 5 min max

8- Mettre un compteur de click, consultable via l'ecran modo. Un joueur qui fait trop de click, c'est soit de l'abus (surcharge du serveur, spam de flottes/sonde, etc), soit un bot (auto-refresh). Dans les 2 cas, le compte devrait etre bloqué puis laissé à l'appreciation du modo.
=> 30 min max

9- Uploader les images d'alliance (logo ou image dans le texte), et non pas permettre une URL externe (faille .htaccess+XSS). 3 images par alliance uploadé devrait suffire.
=> 10 min max

10- Lorsque le serveur est en surcharge, style 2000 ms de temps de réponse, alors bloquer temporairement les attaques. Car certains joueurs avec les connexion puissantes peuvent se connecter et d'autres pas. Ainsi des joueurs se font lincher leurs flottes car GF n'est pas foutu de gerer la surcharge de serveur qui profite qu'à certains joueurs.
=> 30 min max

11- Que les pubs soient inserées via un systeme de redirection (ne pas pouvoir piquer les cookies+session+URL+parser la page web via la faille Flash et le PHP-Flash-.htaccess)
=> 5 min max

12- Lorsque l'email dynamique est changé, alors envoyer sur l'email permanent une demande de confirmation en cliquant sur un URL spécifique. Si cet URL n'est pas lancé au bout de 7 jours, alors remettre l'email à l'initial et ne pas valider ce changement. (contre le vol de mot de passe)
=> 15 min max


13- Que le menu option ne soit pas accessible en HTTP, mais en HTTPS ! S'ils veulent garder le HTTP, qu'ils le fassent en Applet Java securisée. (sécurité globale)
=> 10 min max (30 min s'ils n'ont pas installer certains modules apache)

Tous ces petits trucs sont excessivement simple à faire et ne demandent pas de connaissances pointues en programmation. Il faut maximum 12h pour faire tout ça, même avec le Livre l'informatique pour les Nuls.
Avec 1 seule main, je pourrais le faire en 2h max, à moins que GameForge ne soit manchot et cul de jattes.

ça fait peur tout ça ...

Si seulement GF pouvait le faire ...

En tout cas les solutions proposées sont très bonnes. Bravo !

1- Mettre un compteur de login. Si au bout de 3 mots de passe faux, alors bloqué le compte (contre le brute-force)
=>1 table à créer dans la base de données avec 2 champs (timestamp+Id joueur) + fonction de verification = max 20min

=> pas de meilleur moyen pour reussir une phalange...

8- Mettre un compteur de click, consultable via l'ecran modo. Un joueur qui fait trop de click, c'est soit de l'abus (surcharge du serveur, spam de flottes/sonde, etc), soit un bot (auto-refresh). Dans les 2 cas, le compte devrait etre bloqué puis laissé à l'appreciation du modo.

=> si il fallait compter les clics de tous les joueurs, ça ferait 1 requete sql supplémantaire sur la bdd donc ça ralentirait ogame...
de plus les stressés de clic ça existe ^^ (moi?)

9- Uploader les images d'alliance (logo ou image dans le texte), et non pas permettre une URL externe (faille .htaccess+XSS). 3 images par alliance uploadé devrait suffire.
=> 10 min max

est inutile si

5- Ne plus mettre la session dans l'URL à cause du check-IP. Sinon on peut voler le compte. Soit mettre la session dans le cookie, soit par une methode POST. (contre le vol de compte et l'espionnage de votre compte)
=> 30 min max

12- Lorsque l'email dynamique est changé, alors envoyer sur l'email permanent une demande de confirmation en cliquant sur un URL spécifique. Si cet URL n'est pas lancé au bout de 7 jours, alors remettre l'email à l'initial et ne pas valider ce changement. (contre le vol de mot de passe)
=> 15 min max

si jamais on se fait voler son compte email permanent, il devient alors IMPOSSIBLE de changer l'email d'ogame...

13- Que le menu option ne soit pas accessible en HTTP, mais en HTTPS ! S'ils veulent garder le HTTP, qu'ils le fassent en Applet Java securisée. (sécurité globale)
=> 10 min max (30 min s'ils n'ont pas installer certains modules apache)

arf la sécurité ils connaissent pas


Sinon je trouve tes idées excellentes ! tu devrais les soumettre à gameforge (même si il si s'en foutent)

Pseudo ingame : Molotov
Alliance : CCCP
Univers : 8
Nombre de points avant : 1 500 000
Nombre de point apres : 400 000
Place avant :7
Place aprés :230
Date des faits : 17/02

Résumé des faits : Flotte rentre a 5h 10 pétante ( près de 200 000 clé et toute la clique), hack de compte, planète et lune où étais flotte supprimée a 5h14, même heure le mode vacs est activé.
Je n'utilisais pas d'adresse msn.

Les lettres a gameforge n'ont rien donnés, Nrj a fait la sourde oreille à mes mails. La politique d'ogame qui consiste a faire la sourde oreille (elle aussi) au failles présentent dans le système ne fait qu'insiter au hacking.
Conséquence: Arrêt d'ogame (écoeurant après tant d'efforts), en froid avec mon ancienne team alors que l'ambiance étais pour le mieux et la fin d'un mini rêve. ça peut arriver à n'importe qui à n'importe qu'elle moment. Pour le prix que je payais pour le compte commandant, cela aurais été la moindre de mes choses de m'écouter mais gameforge et Nrj en on choisit autrement.
Un grand élan de solidarité lancé par les joueurs de l'univers 8 est né a la suite de cette injustice, ils ont même tenté de faire une demande de push en masse (qui consister a ceux qui le souhaiter de m'envoyer des ressources) mais cela a été refuser.
Rien n'as été fait pour moi et j'étais premier en flotte...j'espère qu'il n'en saura pas de même pour toi saiya.

Pour plus d'informations: -molotov_anubisnoir@msn.com
-http://board.ogame.fr/thread.php?threadid=179118&hilight=anubis+noir

-=[CCCP]=-_Molotov