DoS

[NeoXidant]

Я по моему ясно дал понять в первом посту, что хакер использует свой собственный эксплоит, следовательно все стандартные защиты просто проходят мимо.

все, что ты ясно дал знать:

Последнюю неделю меня атакует хакер эксплоитом. Anti CSDoS v3.2 by Shocker стоит но не помогает.

NeoXidant, если б ты был в курсе всех событий, то ты б знал, что Anti CSDoS v3.2 спокойно тормозит born to pig, а та ссылка которую ты скинул на плагин форума "alliedmods", не что иное как защита от скрипта на флуд фуллапдейтом, а речь здесь идёт о самописном эксплоите, повторю эксплоите.

ответ:

Ребят есть у кого какие мысли предложения да вообще любые догадки, что можно сделать.

я предложил поставить плагин, который защищает сервер от одной из команд для "повешения" сервера, так же я предложил обновить сервер и поставить dproto.

Я по безопасности серверов на двиге HL уже как 5.5 лет. И не просто так вам сюда пишу.

иди на форумы, посвященные безопасности сетей и приложений, этот форум основан на Anti-Steam движении, а не на "анти-хакер" средствах

А вот для не просвещенных:
описание на вики http://ru.wikipedia.org/wiki/Эксплоит.

спасибо, открыл Америку... и к тому же, название темы, говорит о DoS'е, а не об эксплоите

Я надеялся на ответы администраторов которые реально шарят в это проблеме. И точно знаю что на это форуме есть проффи, в виде администраторов.

ответ:

Буду рад любым ответам, теориям и предположениям.

и по поводу установки dproto и обновления сервера, ответа от тебя нет, точно так же, как и логов с AntiCSDoS или WireShark, которые нужно было предоставить в первую очередь

[Outset]

Сорри за резкость(нервы просто на пределе от канители), поправляю себя:
Стоит DPROTO 0.3.2. Сервер обновляю каждые 5-7 дней(бюилд последний всегда стоит)

Logs AntiCSDoS 25.08.2009

25.08.2009 - 9:42:49: Process with PID 8988 patched successfully
25.08.2009 - 9:42:51: Process with PID 8988 patched successfully
25.08.2009 - 9:42:52: Process with PID 8988 patched successfully
25.08.2009 - 9:42:52: Process with PID 8988 patched successfully
25.08.2009 - 11:13:02: Process with PID 22308 patched successfully
25.08.2009 - 11:13:02: Process with PID 22308 patched successfully
25.08.2009 - 11:13:02: Process with PID 22308 patched successfully
25.08.2009 - 11:58:13: Process with PID 46092 patched successfully
25.08.2009 - 11:58:13: Process with PID 46092 patched successfully
25.08.2009 - 13:00:17: Process with PID 57728 patched successfully
25.08.2009 - 13:00:17: Process with PID 57728 patched successfully
25.08.2009 - 13:11:20: CSDoS attempt rejected from IP: 79.126.9.250
25.08.2009 - 15:08:52: CSDoS attempt rejected from IP: 79.126.59.148
25.08.2009 - 16:26:54: Process with PID 109772 patched successfully
25.08.2009 - 16:26:54: Process with PID 109772 patched successfully
25.08.2009 - 18:28:08: Process with PID 128312 patched successfully
25.08.2009 - 19:14:38: CSDoS attempt rejected from IP: 93.120.159.50

Logs AntiCSDoS 28.08.2009

27.08.2009 - 21:26:11: Process with PID 172828 patched successfully
27.08.2009 - 21:53:31: Modified Born to be pig exploit attempt rejected from IP: 93.120.148.129
27.08.2009 - 22:07:13: CSDoS attempt rejected from IP: 80.237.106.132

А по поводу WireShark не могу пока скинуть пакеты,
сейчас работал и сервер был выключен, поскольку никак не могу устранить проблему
с автоматическим призванием имени Virtuos-Tm^Artem Sh. всем игрокам, в следствии чего
всех игроков выкидывает при коннекте с ошибкой Virtuos-Tm^Artem Sh. overflowed,
уж не знаю как он так смастерил, но я просмотрел в папке cstrike server.cfg, autoexec.cfg,
а так же в папке amxmodx amxx.cfg.
Фишка в том, что все конфигурационные файлы чисты.
Так и не разобрался что это может быть.
Идеи есть. Ребят бесконечно благодарен буду, а то сервер не работает уже как 3-и сутки :(
Спасибо всем за внимание и терпение.... к моей персоне

[Lev2008]

никак не могу устранить проблему
с автоматическим призванием имени Virtuos-Tm^Artem Sh. всем игрокам, в следствии чего
всех игроков выкидывает при коннекте с ошибкой Virtuos-Tm^Artem Sh. overflowed,
уж не знаю как он так смастерил, но я просмотрел в папке cstrike server.cfg, autoexec.cfg,
а так же в папке amxmodx amxx.cfg.
Фишка в том, что все конфигурационные файлы чисты.

Скачай сервер с нуля в другую папку и сравни побайтно. Проверь метамод - нет ли плагинов лишних. АМХХ - проверить все плагины побайтно.

[NeoXidant]

у меня появилась такая мысля, что этот недробожилатель использует стандартные средства AMXx: смена ника, кик (немного измененный - с указанием причины кика)

попробуй еще rcon password поменять, чтобы он посложнее был

[Toxa001]

выложи plugins.ini от amxmodx и от metamod

На сколько я знаю - последняя версия hlds + последняя версия dproto не пробивается , значит можно предположить , что уязвимость в каком то из плагинов или вообще через какую нибудь дыру в апаче залили тебе шелл и подменили один из плагинов . В общем вариантов много.

Можешь писать здесь , можешь написать в личку ... помогу чем смогу т.к. сам недавно подобную атаку отражал =)

[impulse666]

1 пост не мой

да, это ТС..

лично мне становится понятно

очень хорошо, однако оформлять надо грамотней.