Настройка и чтение логов вашего сервера
|
|
FiLLiN | Дата: Воскресенье, 09.02.2014, 17:10 | Сообщение # 1 |
Группа: Администраторы
Сообщений: 73
Награды: 6
Репутация:
Статус: Offline
|
Для того чтобы логи сохранялись на сервере, надо прописать в конфиге сервера следующее переменные.
Пример: // Настройки ведения логов set g_logsync "2" // 0=не вести логи, 1=буферированые логи, 2=continuous, 3=append set logfile "1" // 0 =Отключить логи, 1=Сохранять логи в файл set g_log "games_mp.log" // Название файла логов, по умолчанию games_mp.log set sv_log_damage "1" // Учет информации в логах о нанесении урона. 0=Выключено 1=Включено
Если вы поменяли какую-нибудь переменную, обязательно сделайте рестарт сервера для того чтобы изменения вступили в силу.
=ЗАПИСЬ ЛОГОВ СЕРВЕРА=
Логи сервера будут записываются в два файла :
games_mp.log* и console_mp.log** которые сохраняются в папке main
Чтобы посмотреть логи, их можно открыть в любом текстовом редакторе. Лично я использую для чтения логов обычный блокнот.
* games_mp.log - сохраняет весь лог игры (игровой процесс). В этом логе можно: a) узнать ники игроков которые подключались к серверу (или ушли с сервера), а так же их гуиды. Это особенно полезно в том случае если вы не успели записать гуид нарушителя и он ушел с сервера; б) прочитать игровой чат. в) посмотреть информацию о том, кто кого убил и из какого оружия. Даже после рестарта и после длительного отключения сервера, лог будет продолжаться писаться. И как следствие, в зависимости от посещаемости сервера, файл всего за неделю может весить несколько сотен мегабайтов. Поэтому будет рационально его подчищать (удалять) хотя бы раз в неделю.
** console_mp.log - название файла говорит само за себя)). В нем вы не найдете ту информацию которую можно найти в предыдущем файле. Но это не означает что он не нужен. Порой он намного будет важнее нам чем games_mp.log , так как в этом логе можно: a) узнать IP любого игрока который подключался к серверу (ники посмотреть нельзя) б) узнать с какого IP происходило подключение к RCON (особенно важная информация, если ваш сервер был взломан). в) узнать какие параметры сервера были изменены после его запуска (лимит времени, лимит очков, название сервера, гравитация и тд) г) узнать информацию о банах - каких игроков забанили на сервере. д) так же как и в предыдущем файле, можно посмотреть игровой чат и узнать кто какие сообщения посылал. Очень часто получается так, что console_mp.log после рестарта сервера удаляется и перезаписывается по новой. И поэтому если вы скачали этот файл после рестарта сервера, то посмотреть историю до рестарта вы не сможете. Так что если сервер кто-то уронил не спешите его включать. Для начала скачайте этот лог.
=УЧИМСЯ ЧИТАТЬ ЛОГИ=
В логах много ненужной нам информации, поэтому напишу наиболее важные записи из логов которые вы должны научиться читать и понимать для себя.
GAMES_MP.LOG
Для начала разберем записи которые могут находиться в games_mp.log.
а) Подключение и отключение игроков: В логах можно найти такие строки
J;6ef1db846055bf4996f4cbe6d1178e76;1;AdIk|KnIFeR's или Q;6ef1db846055bf4996f4cbe6d1178e76;1;AdIk|KnIFeR's
J - от анг.join - присоединился Q - от анг.quit - уходить 6ef1db846055bf4996f4cbe6d1178e76 - гуид игрока 1; - это нам не надо) AdIk|KnIFeR's - ник игрока В первом случае означает "Подключился игрок под ником AdIk|KnIFeR's, его гуид 6ef1db846055bf4996f4cbe6d1178e76"
Во втором случае - "Сервер покинул игрок под ником AdIk|KnIFeR's, его гуид 6ef1db846055bf4996f4cbe6d1178e76"
б) Убийства и смерти игроков:
D;801a8fdd1357b2cb06fd3321289acaad;1;allies;Shaman; 0597bc07403a99d73f85ed5ff420ef03;0;axis;Lytui;ak47_silencer_mp;33; MOD_RIFLE_BULLET;right_arm_lower
K;801a8fdd1357b2cb06fd3321289acaad;1;;Shaman;0597bc07403a99d73f85ed5ff420e f03;0;;Lytui;ak47_silencer_mp;32;MOD_RIFLE_BULLET;torso_upper
D - от анг. death - смерть K - от анг. kill - убивать ak47_silencer_mp - оружие из которого был убит игрок
torso_upper, left_arm_lower - те части тела в которые был убит игрок (в данных случаях torso_upper - выше пояса, left_arm_lower - левая рука)
в)Игровой чат:
Так же в этом файле можно посмотреть кто и какие сообщения посылал в игровой чат. Пример:
say;801a8fdd1357b2cb06fd3321289acaad;1;Shaman; а ты шкера)
Это самые основные записи которые можно посмотреть в файле games_mp.log.
CONSOLE_MP.LOG
А теперь я расскажу о том как читать логи из console_mp.log и что интересного можно в них найти.
а) Подключение игроков:
Информация о подключении игроков в этом файле сохраняется совсем по другому. Пример:
Client 408 connecting with 0 challenge ping from 80.77.160.93:28960 Going from CS_FREE to CS_CONNECTED for (num 10 guid "752b4bc2995cadfdb87ecddbb7c8e192")
Что мы тут видим? Всё очень просто)) В игру зашел игрок с гуидом 752b4bc2995cadfdb87ecddbb7c8e192 его IP 80.77.160.93. В этом логе посмотреть его ник мы не можем. Если нам очень интересно узнать его ник, открываем файл games_mp.log и смотрим там.
б) Подключение к RCON:
Очень важная информация! Посмотрев лог можно узнать с какого IP было подключение к RCON. Пример:
Bad rcon from 94.190.102.88:-14058: - не удалось подключиться к RCON Rcon from 188.233.170.51:28960: - подключился к RCON
Если вы в логах увидели такие строчки
Bad rcon from 92.101.43.193:2836: status Bad rcon from 92.101.43.193:2836: status Bad rcon from 94.190.102.88:-9370: status Bad rcon from 94.190.102.88:-9370: status Bad rcon from 109.165.79.148:-670: status Bad rcon from 94.190.102.88:-9370: status Bad rcon from 92.101.43.193:2836: status Bad rcon from 94.190.102.88:-9370: status Bad rcon from 92.101.43.193:2836: status Bad rcon from 94.190.102.88:-9370: status Bad rcon from 109.184.187.64:1126:
не стоит сразу паниковать) На первый взгляд можно предположить что вас кто-то хочет взломать и постоянно пытается подключиться к RCON. Но как часто бывает - это совершенно не так). Вы спросите так откуда эти запросы и кто постоянно хочет подключиться к RCON? А все очень просто. Сотни человек пользуются миниадминкой. И у некоторых людей в списке миниадминки занесен ваш сервер. И частенько такое бывает когда заносят сервер в список, пишут не правильный пароль. Вот поэтому миниадминка и посылает запросы на сервер постоянно пытаясь подключиться к RCON. Не знаю как так получилось, но до сегодняшнего дня у меня в списках миниадминки был сервер |DS| и был записан в нем ркон пароль от нашего сервера. И скорей всего если ребята из |DS| посмотрят свои логи, то увидят что с моего IP были неудачные попытки подключения к их RCON типа
Bad rcon from 91.147.54.115:2836:
=ВЗЛОМ СЕРВЕРА=
Вот мы и дошли до заключительной части этой статьи, ради которой, собственно говоря, и было всё это написано) В последнее время стала очень популярна программа, которая может изменить RCON пароль сервера через голосование. Это хорошо что во время попытки взлома, на сервере присутствовали админы и записали гуид этого гада. А что же делать если админы не успели записать гуид или взлом происходил, когда на сервере никого не было? В этом нам помогут логи!
Оговорюсь сразу, если вы надеялись что я выложу эту программу для взломов серверов - вы ошиблись))
Если Ваш сервер взломали (переименовали, отключили, кто-то банит игроков, а вы не можете подключиться к RCON), не спишите делать рестарт. Для начала скачайте console_mp.log.
Если Ваш сервер был действительно взломан через голосование, то почти в самом конце лога вы можете найти такую запись
Unknown command "selectStringTableEntryInDvar" Error: Can't find map "Привет". dvar set rcon_password 123
Это означает что сервер был взломан через голосование. Было голосование за несуществующую карту "Привет" и ркон пароль поменялся на 123 - dvar set rcon_password 123
А теперь на примере логов нашего сервера я покажу как узнать кто именно взломал сервер. Недавно наш сервер был взломан. В логах нашего сервера я нашел такие строки
Unknown command "selectStringTableEntryInDvar" Error: Can't find map "Выгнать". dvar set rcon_password 1
Это означает что кто-то поставил на голос не существующую карту "Выгнать" и rcon пароль сменился на 1 - dvar set rcon_password 1
Сразу после этого в логах можно найти следующее:
Rcon from 109.127.161.25:28474: status Rcon from 95.52.140.136:4867: dvarlist Rcon from 95.52.140.136:4867: rcon_Password Rcon from 95.52.140.136:4867: g_password Rcon from 109.127.161.25:28474: g_password Rcon from 95.52.140.136:4867: Say Rcon from 95.52.140.136:4867:
Здесь мы видим, что после того, как пароль поменялся, было удачное подключение к RCON с двух IP - 109.127.161.25 и 95.52.140.136. Следовательно эти IP принадлежат взломщикам. Но как нам узнать гуиды этих уродов, если мы знаем только их IP? В этом нам опять поможет console_mp.log. Я уже рассказывал что в этом файле ведется запись игроков которые заходили на сервер - их гуиды и IP. Я читаю логи через программу блокнот, и поэтому чтобы быстро найти гуиды я воспользуюсь поиском (ctrl+F). Пропишу сначала в поиске 109.127.161.25. Я нашел такие строчки
Client 249 connecting with 50 challenge ping from 109.127.161.25:24957 Going from CS_FREE to CS_CONNECTED for (num 1 guid "470ccd667da49300d0056638d88a2501")
470ccd667da49300d0056638d88a2501 - это гуид первого взломщика
Теперь найдем второго. Пишу в поиске 95.52.140.136. Находим:
Client 250 connecting with 50 challenge ping from 95.52.140.136:28960 Going from CS_FREE to CS_CONNECTED for (num 3 guid "9c1e0a23f5d38b974e0707f7c79cd4cd")
9c1e0a23f5d38b974e0707f7c79cd4cd - это гуид второго взломщика
|
|
| |
Zub[A]n | Дата: Суббота, 22.03.2014, 21:17 | Сообщение # 2 |
Группа: Пользователи
Сообщений: 21
Награды: 0
Репутация:
Статус: Offline
|
и сильно это помогает?
|
|
| |
FiLLiN | Дата: Воскресенье, 23.03.2014, 23:45 | Сообщение # 3 |
Группа: Администраторы
Сообщений: 73
Награды: 6
Репутация:
Статус: Offline
|
Zub[A]n, если админ лопух и оставил открытый доступ к логам, то - да. Можно вычислить кто присоединялся к ркону, его ip,guid и ник. Хотя, бывает, что это не вина самого админа. Иногда, сами хостинги не дают полной свободы действия над сервером. В случае с нашим сервером - логи отключены и ограничен публичный доступ к ним. Поэтому, в папке с модом лежат только iwd файлы и никаких логов. Тем самым, перекрывая все возможные способы взлома rcon`a от сервера.
|
|
| |
Zub[A]n | Дата: Среда, 26.03.2014, 10:06 | Сообщение # 4 |
Группа: Пользователи
Сообщений: 21
Награды: 0
Репутация:
Статус: Offline
|
FiLLiN, понятно, не приступный сервер
|
|
| |
RUBLEV | Дата: Среда, 26.03.2014, 10:19 | Сообщение # 5 |
Админ сервера COD4
Группа: Друзья
Сообщений: 12
Награды: 1
Репутация:
Статус: Offline
|
Zub[A]n, у нас вообще самый клёвый сервер
|
|
| |
Zub[A]n | Дата: Четверг, 27.03.2014, 09:38 | Сообщение # 6 |
Группа: Пользователи
Сообщений: 21
Награды: 0
Репутация:
Статус: Offline
|
RUBLEV, ага, вчера с другом играл на нём, прикольный сервер! жалко что народу не было уже(
|
|
| |
Dirty | Дата: Воскресенье, 30.03.2014, 14:01 | Сообщение # 7 |
Группа: Пользователи
Сообщений: 9
Награды: 0
Репутация:
Статус: Offline
|
Zub[A]n, дай свой скайп, можно будет вместе зайти.
|
|
| |