Форум 1001Gamer.ru - обсуждения игр: Call of Duty, Battlefield, War Face

Страница 1 из 1
1

Форум » Игры » Серия Call of Duty » Call of Duty 4 » Логи

Логи

merc_mc

Добавлено в Понедельник, 30.07.2012, 09:17 #1

Сообщения:295

Награды: 4

Замечания:

Статус:Offline

Решил провести краткий обучающий курс по чтению логов сервера. Изначально планировалось написать небольшой мануал для того чтобы узнавать кто взломал сервер, но я решил описать все поподробнее. Думаю, что эта информация окажется полезной для тех, у кого есть сервер. Ведь админы невсегда могут находиться на сервере, а следовательно они не знают что происходило на сервере в их отсутствие.
Вся информация взята из собственного опыта.

=НАСТРОЙКА ЛОГОВ СЕРВЕРА=

Для того чтобы логи сохранялись на сервере, надо прописать в конфиге сервера следующее переменные.

Пример:

Код

// Настройки ведения логов
set g_logsync "2" // 0=не вести логи, 1=буферированые логи, 2=continuous, 3=append
set logfile "1" // 0 =Отключить логи, 1=Сохранять логи в файл
set g_log "games_mp.log" // Название файла логов, по умолчанию games_mp.log
set sv_log_damage "1" // Учет информации в логах о нанесении урона. 0=Выключено 1=Включено

Если вы поменяли какую-нибудь переменную, обязательно сделайте рестарт сервера для того чтобы изминения вступили в силу.

=ЗАПИСЬ ЛОГОВ СЕРВЕРА=

Логи сервера будут записываются в два файла :

games_mp.log* и console_mp.log** которые сохраняются в папке main

Чтобы посмотреть логи, их можно открыть в любом текстовом редакторе. Лично я использую для чтения логов обычный блокнот.

* games_mp.log - сохраняет весь лог игры (игровой процесс). В этом логе можно:
a) узнать ники игроков которые подключались к серверу (или ушли с сервера), а так же их гуиды. Это особенно полезно в том случае если вы не успели записать гуид нарушителя и он ушел с сервера;
б) прочитать игровой чат.
в) посмотреть информацию о том, кто кого убил и из какого оружия.
Даже после рестарта и после длительного отключения сервера, лог будет продолжаться писаться. И как следствие, в зависимости от посещаемости сервера, файл всего за неделю может весить несколько сотен мегабайтов.
Поэтому будет рационально его подчищать (удалять) хотябы раз в неделю.

** console_mp.log - название файла говорит само за себя)). В нем вы не найдете ту информацию которую можно найти в предыдущем файле. Но это не означает что он не нужен. Порой он намного будет важнее нам чем games_mp.log , так как в этом логе можно:
a) узнать IP любого игрока который подключался к серверу (ники посмотреть нельзя)
б) узнать с какого IP происходило подключение к RCON (особенно важная информация, если ваш сервер был взломан).
в) узнать какие параметры сервера были изменены после его запуска (лимит времени, лимит очков, название сервера, гравитация и тд)
г) узнать информацию о банах - каких игроков забанили на сервере.
д) так же как и в предыдущем файле, можно посмотреть игровой чат и узнать кто какие сообщения посылал.
Очень часто получается так, что console_mp.log после рестарта сервера удаляется и перезаписывается по новой. И поэтому если вы скачали этот файл после рестарта сервера, то посмотреть историю до рестарта вы не сможете. Так что если сервер кто-то уронил не спешите его включать. Для начала скачайте этот лог.

=УЧИМСЯ ЧИТАТЬ ЛОГИ=

В логах много ненужной нам информации, поэтому напишу наиболее важные записи из логов которые вы должны научиться читать и понимать для себя.

GAMES_MP.LOG

Для начала разберем записи которые могут находиться в games_mp.log.

а) Подключение и отключение игроков:
В логах можно найти такие строки

J;6ef1db846055bf4996f4cbe6d1178e76;1;AdIk|KnIFeR's
или
Q;6ef1db846055bf4996f4cbe6d1178e76;1;AdIk|KnIFeR's

J - от анг.join - присоединился
Q - от анг.quit - уходить
6ef1db846055bf4996f4cbe6d1178e76 - гуид игрока
1; - это нам не надо)
AdIk|KnIFeR's - ник игрока
В первом случае означает "Подключился игрок под ником AdIk|KnIFeR's, его гуид 6ef1db846055bf4996f4cbe6d1178e76"

Во втором случае - "Сервер покинул игрок под ником AdIk|KnIFeR's, его гуид 6ef1db846055bf4996f4cbe6d1178e76"

б) Убийства и смерти игроков:

D;801a8fdd1357b2cb06fd3321289acaad;1;allies;Shaman;
0597bc07403a99d73f85ed5ff420ef03;0;axis;Lytui;ak47_silencer_mp;33;
MOD_RIFLE_BULLET;right_arm_lower

K;801a8fdd1357b2cb06fd3321289acaad;1;;Shaman;0597bc07403a99d73f85ed5ff420e
f03;0;;Lytui;ak47_silencer_mp;32;MOD_RIFLE_BULLET;torso_upper

D - от анг. death - смерть
K - от анг. kill - убивать
ak47_silencer_mp - оружие из которого был убит игрок

torso_upper, left_arm_lower - те части тела в которые был убит игрок (в данных случаях torso_upper - выше пояса, left_arm_lower - левая рука)

в)Игровой чат:

Так же в этом файле можно помотреть кто и какие сообщения посылал в игровой чат. Пример:

say;801a8fdd1357b2cb06fd3321289acaad;1;Shaman; а ты шкера)

Это самые основные записи которые можно посмотреть в файле games_mp.log.

CONSOLE_MP.LOG

А теперь я расскажу о том как читать логи из console_mp.log и что интересного можно в них найти.

а) Подключение игроков:

Информация о подключении игроков в этом файле сохраняется совсем по другому. Пример:

Client 408 connecting with 0 challenge ping from 80.77.160.93:28960
Going from CS_FREE to CS_CONNECTED for (num 10 guid "752b4bc2995cadfdb87ecddbb7c8e192")

Что мы тут видим? Всё очень просто)) В игру зашел игрок с гуидом 752b4bc2995cadfdb87ecddbb7c8e192 его IP 80.77.160.93. В этом логе посмотреть его ник мы не можем. Если нам очень интересно узнать его ник, открываем файл games_mp.log и смотрим там.

б) Подключение к RCON:

Очень важная информация! Посмотрев лог можно узнать с какого IP было подключение к RCON. Пример:

Bad rcon from 94.190.102.88:-14058: - не удалось подключиться к RCON
Rcon from 188.233.170.51:28960: - подключился к RCON

Если вы в логах увидели такие строчки

Код

Bad rcon from 92.101.43.193:2836:
status
Bad rcon from 92.101.43.193:2836:
status
Bad rcon from 94.190.102.88:-9370:
status
Bad rcon from 94.190.102.88:-9370:
status
Bad rcon from 109.165.79.148:-670:
status
Bad rcon from 94.190.102.88:-9370:
status
Bad rcon from 92.101.43.193:2836:
status
Bad rcon from 94.190.102.88:-9370:
status
Bad rcon from 92.101.43.193:2836:
status
Bad rcon from 94.190.102.88:-9370:
status
Bad rcon from 109.184.187.64:1126:

не стоит сразу паниковать) На первый взгляд можно предположить что вас кто-то хочет взломать и постоянно пытается подключиться к RCON. Но как часто бывает - это совершенно не так).
Вы спросите так откуда эти запросы и кто постоянно хочет подключиться к RCON? А все очень просто. Сотни человек пользуются миниадминкой. И у некоторых людей в списке миниадминки занесен ваш сервер. И частенько такое бывает когда заносят сервер в список, пишут не правильный пароль. Вот поэтому миниадминка и посылает запросы на сервер постоянно пытаясь подключиться к RCON. Не знаю как так получилось, но до сегодняшнего дня у меня в списках миниадминки был сервер |DS| и был записан в нем ркон пароль от нашего сервера. И скорей всего если ребята из |DS| посмотрят свои логи, то увидят что с моего IP были неудачные попытки подключения к их RCON типа

Bad rcon from 91.147.54.115:2836:

=ВЗЛОМ СЕРВЕРА=

Вот мы и дошли до заключительной части этой статьи, ради которой, собственно говоря, и было всё это написано)
В последнее время стала очень популярна программа, которая может изменить RCON пароль сервера через голосование. Это хорошо что во время попытки взлома, на сервере присутствовали админы и записали гуид этого гада. А что же делать если админы не успели записать гуид или взлом происходил, когда на сервере никого не было? В этом нам помогут логи!

Оговорюсь сразу, если вы надеялись что я выложу эту программу для взломов серверов - вы ошиблись))

Если Ваш сервер взломали (переименовали, отключили, кто-то банит игроков, а вы не можете подключиться к RCON), не спишите делать рестарт. Для начала скачайте console_mp.log.

Если Ваш сервер был дествительно взломан через голосование, то почти в самом конце лога вы можете найти такую запись

Unknown command "selectStringTableEntryInDvar"
Error: Can't find map "Привет".
dvar set rcon_password 123

Это означает что сервер был взломан через голосование. Было голосование за несуществующую карту "Привет" и ркон пароль поменялся на 123 - dvar set rcon_password 123

А теперь на примере логов нашего сервера я покажу как узнать кто именно взломал сервер.
Недавно наш сервер был взломан. В логах нашего сервера я нашел такие строки

Unknown command "selectStringTableEntryInDvar"
Error: Can't find map "Выгнать".
dvar set rcon_password 1

Это означает что кто-то поставил на голос не существующую карту "Выгнать" и rcon пароль сменился на 1 - dvar set rcon_password 1

Сразу после этого в логах можно найти следующее:

Код

Rcon from 109.127.161.25:28474:
status
Rcon from 95.52.140.136:4867:
dvarlist
Rcon from 95.52.140.136:4867:
rcon_Password
Rcon from 95.52.140.136:4867:
g_password
Rcon from 109.127.161.25:28474:
g_password
Rcon from 95.52.140.136:4867:
Say
Rcon from 95.52.140.136:4867:

Здесь мы видим, что после того, как пароль поменялся, было удачное подключение к RCON с двух IP - 109.127.161.25 и 95.52.140.136. Следовательно эти IP принадлежат взломщикам.
Но как нам узнать гуиды этих уродов, если мы знаем только их IP? В этом нам опять поможет console_mp.log. Я уже рассказывал что в этом файле ведется запись игроков которые заходили на сервер - их гуиды и IP. Я читаю логи через программу блокнот, и поэтому чтобы быстро найти гуиды я воспользуюсь поиском (ctrl+F). Пропишу сначало в поиске 109.127.161.25. Я нашел такие строчки

Client 249 connecting with 50 challenge ping from 109.127.161.25:24957
Going from CS_FREE to CS_CONNECTED for (num 1 guid "470ccd667da49300d0056638d88a2501")

470ccd667da49300d0056638d88a2501 - это гуид первого взломщика

Теперь найдем второго. Пишу в поиске 95.52.140.136. Находим:

Client 250 connecting with 50 challenge ping from 95.52.140.136:28960
Going from CS_FREE to CS_CONNECTED for (num 3 guid "9c1e0a23f5d38b974e0707f7c79cd4cd")

9c1e0a23f5d38b974e0707f7c79cd4cd - это гуид второго взломщика

Надеюсь всё всем понятно) Если есть вопросы - пишите в комментариях.