Новый сервер эксплоит
-
- Нович0к
- Сообщения: 28
- Зарегистрирован: 07.01.2009
А собственно вот история(нет, не про медведа).
Начну с конфигурации сервера:
eSTEAMATION
Mani Admin Plugin
MetaMod
EventScript
На днях в мое отсутствие неизвестными лицами был каким-то не понятным способом хакнут сервер.
Суть хака следующая. Модификация оружия - Mac10 получает 150 патронов и большую кучность.
От игроков своего сервера узнал что ломанули не один наш сервер. Вообщем я в недоумении. Даже не представляю через какую дырку они это сделали.
Поэтому обращаюсь к вам форумчане за помощью, ибо мои познания в области серверов на этом заканчиваются...
Начну с конфигурации сервера:
eSTEAMATION
Mani Admin Plugin
MetaMod
EventScript
На днях в мое отсутствие неизвестными лицами был каким-то не понятным способом хакнут сервер.
Суть хака следующая. Модификация оружия - Mac10 получает 150 патронов и большую кучность.
От игроков своего сервера узнал что ломанули не один наш сервер. Вообщем я в недоумении. Даже не представляю через какую дырку они это сделали.
Поэтому обращаюсь к вам форумчане за помощью, ибо мои познания в области серверов на этом заканчиваются...
Последний раз редактировалось Kick-Bum 29.04.2009, 15:30, всего редактировалось 2 раза.
та же проблема,
уже в течение недели ломают серваки, при том на разных физических серверах разной конфигурации.
запускаются под юзером, к руту нет доступа.
пробовали и мани, и сорсмод.
поначалу в scripts появлялись изменения с оружиями,
убирал на запись эти папки, ставил дефолтные скрипты. стали доставать с SM, шли от него команды. появился в папке plugins sm120.smx, на запись тоже убрал.
физического доступа на серв нет. ркон постоянно меняю.
но последний раз у всех были глюки с текстурами и тормоза, и посылало всех в ркон бан, явно не ручками. на сервере изменений файло не было.
перед каждым взломом кто-то появляется на сервере, отрубает логи плагинов, отправляет серв в рестарт и тогда изменения вступают в силу, после чего начинается беспредел.
лечится простым рестартом клиента игры, т.е. получается где-то со стороны идут команды.
вот третий день пытаемся выяснить лазейку.
есть подозрения (то что ещё не проверили) на дыру vup + eSTEAMATION, может быть даже метамод. Если не поможет, то скорее всего дыра в движке -)
первый раз такое за 9 месяцев.
linux, mm, sm или m-a-p, zblock
уже в течение недели ломают серваки, при том на разных физических серверах разной конфигурации.
запускаются под юзером, к руту нет доступа.
пробовали и мани, и сорсмод.
поначалу в scripts появлялись изменения с оружиями,
убирал на запись эти папки, ставил дефолтные скрипты. стали доставать с SM, шли от него команды. появился в папке plugins sm120.smx, на запись тоже убрал.
физического доступа на серв нет. ркон постоянно меняю.
но последний раз у всех были глюки с текстурами и тормоза, и посылало всех в ркон бан, явно не ручками. на сервере изменений файло не было.
перед каждым взломом кто-то появляется на сервере, отрубает логи плагинов, отправляет серв в рестарт и тогда изменения вступают в силу, после чего начинается беспредел.
лечится простым рестартом клиента игры, т.е. получается где-то со стороны идут команды.
вот третий день пытаемся выяснить лазейку.
есть подозрения (то что ещё не проверили) на дыру vup + eSTEAMATION, может быть даже метамод. Если не поможет, то скорее всего дыра в движке -)
первый раз такое за 9 месяцев.
linux, mm, sm или m-a-p, zblock
Последний раз редактировалось U#0 28.04.2009, 21:04, всего редактировалось 1 раз.
Причина: видел тему на рине, заинтересовало.
Причина: видел тему на рине, заинтересовало.
-
- Нович0к
- Сообщения: 28
- Зарегистрирован: 07.01.2009
Про root-доступ.
Во-первых у мну под виндой все это дело работает.
Во-вторых права доступа настроены. :)
Добавлено спустя 19 минут 20 секунд:
juves, Меня обошло, у меня тока к одному стволу скрипты поменяли. У других слышал все админы из админки исчезали, по мимо mac10 такая же дрянь со скриптами у awp и чеченки. Короче эти #$%# :evil: ... редиски ... %$@#$ :evil: изголялись так на днях что люди несколько раз сервы пересобирали.
Во-первых у мну под виндой все это дело работает.
Во-вторых права доступа настроены. :)
Добавлено спустя 19 минут 20 секунд:
juves, Меня обошло, у меня тока к одному стволу скрипты поменяли. У других слышал все админы из админки исчезали, по мимо mac10 такая же дрянь со скриптами у awp и чеченки. Короче эти #$%# :evil: ... редиски ... %$@#$ :evil: изголялись так на днях что люди несколько раз сервы пересобирали.
у меня в scripts на все оружия меняли, на каждый конфиг появлялся, пришлось read-only делать. сборку с нуля уже приходилось. бекапы себе слил на всякий. после чего в ход пустили более неприятные вещи.
последний раз всех пере_банило или игра у народа повылетала, у кого даже ос повисло, при том на сервере всё чисто и после рестарта встаёт на место.
порылся на рине, там есть тема с такой же абсолютно проблемой.
последний раз всех пере_банило или игра у народа повылетала, у кого даже ос повисло, при том на сервере всё чисто и после рестарта встаёт на место.
порылся на рине, там есть тема с такой же абсолютно проблемой.
У меня большая уверенность в том, что это из-за Mani Admin Plugin. В своё время столкнулся с подобным, только это было с сервером TF2. Так же возможна атака с переполнением буфера из-за VUP (но, по-моему, данная проблема была уже давно решена).
Да народ, вы не одни такие, мой сервер тоже это настигло. Стоит естемейшн + вуп, СМ, тоже меняли изначально конфиг мак10 а в последний раз вообще поменяли скрипты всего оружия.
Что я сделал в ответ на это? Обьясняю: я заметил, что перед крашем сервера постоянно заходило тело с ником Player с IP адресом 65.2.138.247. На сервере у меня стоит плагин IP Range Ban (дает возможность банить диапазоны ИП, скачать тут). Я влепил бан этому "созданию" с перестраховкой на динамику, вот уже более суток сервер работает, учитывая что тогда после рестарта его ложили каждые пол часа. :crazy:
Что я сделал в ответ на это? Обьясняю: я заметил, что перед крашем сервера постоянно заходило тело с ником Player с IP адресом 65.2.138.247. На сервере у меня стоит плагин IP Range Ban (дает возможность банить диапазоны ИП, скачать тут). Я влепил бан этому "созданию" с перестраховкой на динамику, вот уже более суток сервер работает, учитывая что тогда после рестарта его ложили каждые пол часа. :crazy:
-
- Нович0к
- Сообщения: 28
- Зарегистрирован: 07.01.2009
ZeroS
спасибо, добавил диапазон.
По хоже на проблему с esteamation + vup, потому что все что объеденяет взломанные серваки это как раз данная связка....
спасибо, добавил диапазон.
По хоже на проблему с esteamation + vup, потому что все что объеденяет взломанные серваки это как раз данная связка....
Помнится когда то давно, с серверов взломанных при помощи VUP можно было стирать файлы.
И даже, помнится, vityan666 писал на эту тему.
Так может, перед тем как кричать о проблеме, стоит попробовать rev-emu?
И даже, помнится, vityan666 писал на эту тему.
Так может, перед тем как кричать о проблеме, стоит попробовать rev-emu?
-
- Нович0к
- Сообщения: 28
- Зарегистрирован: 07.01.2009
Проблема существует и 100% панацеи не найдено, как я понимаю.U#0 писал(а): Так может, перед тем как кричать о проблеме, стоит попробовать rev-emu?
Одни предположения. По поводу rev-emu уже задумывался вчера.
Там описана проблема с Голд Сорс, а тема про Сорс... А насчет рев ему действительно стоит... :crazy:U#0 писал(а):Помнится когда то давно, с серверов взломанных при помощи VUP можно было стирать файлы.
И даже, помнится, vityan666 писал на эту тему.
Так может, перед тем как кричать о проблеме, стоит попробовать rev-emu?
Последний раз редактировалось U#0 29.04.2009, 14:29, всего редактировалось 3 раза.
Причина: Так удаляли файлы с серверов Team Fortress 2
Причина: Так удаляли файлы с серверов Team Fortress 2
от плагина на зависит, ломают на любом, в том числе и на mani.
на рине пишут что rev-emu не помог.
в общем походу дыра такая, что могут выполнять любые команды и заливать файло.
если от левого файло можно избавиться выставлением read-only, то от команд пока не знаю.
те кто не разбирается, балуются с scripts папкой, кто посерьёзнее, запускают эксплоиты.
у меня вчера вообще всем игрокам конфиги поменяло, все кнопки под ркон забиндены.
на рине пишут что rev-emu не помог.
в общем походу дыра такая, что могут выполнять любые команды и заливать файло.
если от левого файло можно избавиться выставлением read-only, то от команд пока не знаю.
те кто не разбирается, балуются с scripts папкой, кто посерьёзнее, запускают эксплоиты.
у меня вчера вообще всем игрокам конфиги поменяло, все кнопки под ркон забиндены.
-
- Нович0к
- Сообщения: 28
- Зарегистрирован: 07.01.2009
треш... *в недоумении разводит рукам*juves писал(а):от плагина на зависит, ломают на любом, в том числе и на mani.
на рине пишут что rev-emu не помог.
в общем походу дыра такая, что могут выполнять любые команды и заливать файло.
если от левого файло можно избавиться выставлением read-only, то от команд пока не знаю.
те кто не разбирается, балуются с scripts папкой, кто посерьёзнее, запускают эксплоиты.
у меня вчера вообще всем игрокам конфиги поменяло, все кнопки под ркон забиндены.
Ну по крайней мере после бана того тела, серв не ложили, посмотрим что дальше будет. Какое-то решение все-равно нужно найти!
Сегодня один чел зашёл под аккаунтом одного админа сервера (в мани админ)
вероятность того, что пароль был стащен или подобран равняется 0, т.к. там пароль 12 символов, включая цифры и буквы разного размера...
вероятность того, что пароль был стащен или подобран равняется 0, т.к. там пароль 12 символов, включая цифры и буквы разного размера...
-
- Нович0к
- Сообщения: 28
- Зарегистрирован: 07.01.2009
kadet89, ну что в основных админских плагинах дыры как в моем друшлаке это и так известно...
Ребята подскажите еще такую вещь. Обнаружилось недавно что ранк в МА теперь считаеться наоборот,т.е. не прибавляеться а отнимается. Какой файлик за ранк в МА отвечает???
Ребята подскажите еще такую вещь. Обнаружилось недавно что ранк в МА теперь считаеться наоборот,т.е. не прибавляеться а отнимается. Какой файлик за ранк в МА отвечает???