Новый сервер эксплоит

Обсуждаем все, что относится к выделенным серверам *NIX (Unix, Linux) и Windows
Сообщение
Автор
Twisted Evil
Нович0к
Нович0к
Сообщения: 28
Зарегистрирован: 07.01.2009

#1 Сообщение 28.04.2009, 16:29

А собственно вот история(нет, не про медведа).
Начну с конфигурации сервера:
eSTEAMATION
Mani Admin Plugin
MetaMod
EventScript

На днях в мое отсутствие неизвестными лицами был каким-то не понятным способом хакнут сервер.
Суть хака следующая. Модификация оружия - Mac10 получает 150 патронов и большую кучность.
От игроков своего сервера узнал что ломанули не один наш сервер. Вообщем я в недоумении. Даже не представляю через какую дырку они это сделали.
Поэтому обращаюсь к вам форумчане за помощью, ибо мои познания в области серверов на этом заканчиваются...
Последний раз редактировалось Kick-Bum 29.04.2009, 15:30, всего редактировалось 2 раза.

juves
Нович0к
Нович0к
Сообщения: 16
Зарегистрирован: 16.08.2008

#2 Сообщение 28.04.2009, 20:00

та же проблема,
уже в течение недели ломают серваки, при том на разных физических серверах разной конфигурации.
запускаются под юзером, к руту нет доступа.
пробовали и мани, и сорсмод.
поначалу в scripts появлялись изменения с оружиями,
убирал на запись эти папки, ставил дефолтные скрипты. стали доставать с SM, шли от него команды. появился в папке plugins sm120.smx, на запись тоже убрал.
физического доступа на серв нет. ркон постоянно меняю.

но последний раз у всех были глюки с текстурами и тормоза, и посылало всех в ркон бан, явно не ручками. на сервере изменений файло не было.
перед каждым взломом кто-то появляется на сервере, отрубает логи плагинов, отправляет серв в рестарт и тогда изменения вступают в силу, после чего начинается беспредел.

лечится простым рестартом клиента игры, т.е. получается где-то со стороны идут команды.

вот третий день пытаемся выяснить лазейку.

есть подозрения (то что ещё не проверили) на дыру vup + eSTEAMATION, может быть даже метамод. Если не поможет, то скорее всего дыра в движке -)

первый раз такое за 9 месяцев.
linux, mm, sm или m-a-p, zblock
Последний раз редактировалось U#0 28.04.2009, 21:04, всего редактировалось 1 раз.
Причина: видел тему на рине, заинтересовало.

Twisted Evil
Нович0к
Нович0к
Сообщения: 28
Зарегистрирован: 07.01.2009

#3 Сообщение 28.04.2009, 21:16

Про root-доступ.
Во-первых у мну под виндой все это дело работает.
Во-вторых права доступа настроены. :)

Добавлено спустя 19 минут 20 секунд:
juves, Меня обошло, у меня тока к одному стволу скрипты поменяли. У других слышал все админы из админки исчезали, по мимо mac10 такая же дрянь со скриптами у awp и чеченки. Короче эти #$%# :evil: ... редиски ... %$@#$ :evil: изголялись так на днях что люди несколько раз сервы пересобирали.

juves
Нович0к
Нович0к
Сообщения: 16
Зарегистрирован: 16.08.2008

#4 Сообщение 28.04.2009, 21:35

у меня в scripts на все оружия меняли, на каждый конфиг появлялся, пришлось read-only делать. сборку с нуля уже приходилось. бекапы себе слил на всякий. после чего в ход пустили более неприятные вещи.
последний раз всех пере_банило или игра у народа повылетала, у кого даже ос повисло, при том на сервере всё чисто и после рестарта встаёт на место.

порылся на рине, там есть тема с такой же абсолютно проблемой.

nullpo
Нович0к
Нович0к
Сообщения: 11
Зарегистрирован: 27.10.2008

#5 Сообщение 29.04.2009, 07:07

У меня большая уверенность в том, что это из-за Mani Admin Plugin. В своё время столкнулся с подобным, только это было с сервером TF2. Так же возможна атака с переполнением буфера из-за VUP (но, по-моему, данная проблема была уже давно решена).

Аватара пользователя
ZeroS
Сержант
Сержант
Сообщения: 52
Зарегистрирован: 01.02.2008
Откуда: Харьков
Контактная информация:

#6 Сообщение 29.04.2009, 09:17

Да народ, вы не одни такие, мой сервер тоже это настигло. Стоит естемейшн + вуп, СМ, тоже меняли изначально конфиг мак10 а в последний раз вообще поменяли скрипты всего оружия.
Что я сделал в ответ на это? Обьясняю: я заметил, что перед крашем сервера постоянно заходило тело с ником Player с IP адресом 65.2.138.247. На сервере у меня стоит плагин IP Range Ban (дает возможность банить диапазоны ИП, скачать тут). Я влепил бан этому "созданию" с перестраховкой на динамику, вот уже более суток сервер работает, учитывая что тогда после рестарта его ложили каждые пол часа. :crazy:

Twisted Evil
Нович0к
Нович0к
Сообщения: 28
Зарегистрирован: 07.01.2009

#7 Сообщение 29.04.2009, 10:45

ZeroS
спасибо, добавил диапазон.

По хоже на проблему с esteamation + vup, потому что все что объеденяет взломанные серваки это как раз данная связка....

Аватара пользователя
U#0
Майор
Майор
Сообщения: 529
Зарегистрирован: 25.10.2007
Поблагодарили: 1 раз
Контактная информация:

#8 Сообщение 29.04.2009, 12:02

Помнится когда то давно, с серверов взломанных при помощи VUP можно было стирать файлы.
И даже, помнится, vityan666 писал на эту тему.
Так может, перед тем как кричать о проблеме, стоит попробовать rev-emu?

Twisted Evil
Нович0к
Нович0к
Сообщения: 28
Зарегистрирован: 07.01.2009

#9 Сообщение 29.04.2009, 14:25

U#0 писал(а): Так может, перед тем как кричать о проблеме, стоит попробовать rev-emu?
Проблема существует и 100% панацеи не найдено, как я понимаю.
Одни предположения. По поводу rev-emu уже задумывался вчера.

Аватара пользователя
ZeroS
Сержант
Сержант
Сообщения: 52
Зарегистрирован: 01.02.2008
Откуда: Харьков
Контактная информация:

#10 Сообщение 29.04.2009, 14:29

U#0 писал(а):Помнится когда то давно, с серверов взломанных при помощи VUP можно было стирать файлы.
И даже, помнится, vityan666 писал на эту тему.
Так может, перед тем как кричать о проблеме, стоит попробовать rev-emu?
Там описана проблема с Голд Сорс, а тема про Сорс... А насчет рев ему действительно стоит... :crazy:
Последний раз редактировалось U#0 29.04.2009, 14:29, всего редактировалось 3 раза.
Причина: Так удаляли файлы с серверов Team Fortress 2

juves
Нович0к
Нович0к
Сообщения: 16
Зарегистрирован: 16.08.2008

#11 Сообщение 29.04.2009, 14:57

от плагина на зависит, ломают на любом, в том числе и на mani.
на рине пишут что rev-emu не помог.

в общем походу дыра такая, что могут выполнять любые команды и заливать файло.
если от левого файло можно избавиться выставлением read-only, то от команд пока не знаю.
те кто не разбирается, балуются с scripts папкой, кто посерьёзнее, запускают эксплоиты.

у меня вчера вообще всем игрокам конфиги поменяло, все кнопки под ркон забиндены.

Twisted Evil
Нович0к
Нович0к
Сообщения: 28
Зарегистрирован: 07.01.2009

#12 Сообщение 29.04.2009, 15:03

juves писал(а):от плагина на зависит, ломают на любом, в том числе и на mani.
на рине пишут что rev-emu не помог.

в общем походу дыра такая, что могут выполнять любые команды и заливать файло.
если от левого файло можно избавиться выставлением read-only, то от команд пока не знаю.
те кто не разбирается, балуются с scripts папкой, кто посерьёзнее, запускают эксплоиты.

у меня вчера вообще всем игрокам конфиги поменяло, все кнопки под ркон забиндены.
треш... *в недоумении разводит рукам*

Аватара пользователя
ZeroS
Сержант
Сержант
Сообщения: 52
Зарегистрирован: 01.02.2008
Откуда: Харьков
Контактная информация:

#13 Сообщение 29.04.2009, 15:23

Ну по крайней мере после бана того тела, серв не ложили, посмотрим что дальше будет. Какое-то решение все-равно нужно найти!

kadet89
Майор
Майор
Сообщения: 557
Зарегистрирован: 26.12.2006

#14 Сообщение 02.05.2009, 02:49

Сегодня один чел зашёл под аккаунтом одного админа сервера (в мани админ)
вероятность того, что пароль был стащен или подобран равняется 0, т.к. там пароль 12 символов, включая цифры и буквы разного размера...

Twisted Evil
Нович0к
Нович0к
Сообщения: 28
Зарегистрирован: 07.01.2009

#15 Сообщение 04.05.2009, 21:33

kadet89, ну что в основных админских плагинах дыры как в моем друшлаке это и так известно...

Ребята подскажите еще такую вещь. Обнаружилось недавно что ранк в МА теперь считаеться наоборот,т.е. не прибавляеться а отнимается. Какой файлик за ранк в МА отвечает???

Ответить