Взломали сервер

Сообщение

Sammit92 · #1 Сообщение 01.04.2011, 19:28

Доброго времени суток.

Начну:

ОС: Linux Ubuntu

Сервер: Counter-Strike Source v34
version
Protocol version 7
Exe version 1.0.0.34 (cstrike)
Exe build: 17:43:48 Jan 27 2009 (3734)

meta version
Metamod:Source version 1.7.1
Build ID: 644:f526469efdeb
Loaded As: GameDLL (gameinfo.txt)
Compiled on: Feb 25 2009
Plugin interface version: 10:7
SourceHook version: 4:3

meta list
Listing 3 plugins:
[01] SourceMod (1.2.4) by AlliedModders LLC
[02] CS:S Tools (1.2.4) by AlliedModders LLC
[03] SDK Tools (1.2.4) by AlliedModders LLC

ma_version
Mani Admin Plugin 2007 V1.2BetaS VSP, www.mani-admin-plugin.com
Server Tickrate 33
Linux server

Eventscripts

rcon_password, sv_allowupload 0, sv_allow_wait_command 0, sv_cheats 0 введены в строке запуска сервера, в server.cfg их нет. rcon_password очень сложный, состоит из букв разного шрифта и цифр.

В папке с конфигами сервера, админского плагина(Mani Admin и Sourcemod) запись запрещена(прав на запись нет).

Доступа через rcon ни у кого нет, пароль знаю только я.

Доступа через rcon посредством Sourcemod или Mani Admin ни у кого нет.

Стоит защита:

DoS Attack Fixer: http://www.sourceop.com/modules.php?nam ... load&cid=9
detocs: http://addons.eventscripts.com/addons/view/detocs
rcon_lock_legacy: http://forums.alliedmods.net/showthread.php?p=841590

Всё, что записало в логи:

Сначала хаккер попробовал ввести пароль неправильно:

Код: Выделить всё

L 03/30/2011 - 23:42:16: rcon from "93.138.19.59:55590": Bad Password

Затем он несколько раз переподключился.

Затем его кикнуло и выдало:

Код: Выделить всё

L 03/30/2011 - 23:50:14: "KilleR<583><STEAM_0:0:0><TERRORIST>" disconnected (reason "Client 29 overflowed reliable channel.")

Затем в логе пару фраз записалось о других игроках и запись в лог оборвалась, фраза о другом игроке осталась незаконченной.

В новом логе у него уже был rcon доступ. Как????

Логи прилагаются: http://us.ua/194052/

P.S. Взломать сервер у него получилось далеко не сразу, но всё-таки взломал гад. Помогите пожалуйста найти дыру.

Если нужна ещё какая-нибудь информация, пишите:)

mihaput · #2 Сообщение 01.04.2011, 23:01

Если у тебя был сложный пароль от сервера, то наврятли ломали сам ркон.
По логам так же много команд измененных через ma_
Скорей сломали МаниПлагин, а через него и поменяли пароль от сервера.
Где то на форуме есть про взлом и как защитить МаниПлагин. Копать нужно скорей всего в сторону Мани.

metoprolol · #3 Сообщение 01.04.2011, 23:27

У меня ломали через es_tools.

Sammit92 · #4 Сообщение 02.04.2011, 23:22

Проблему решил отключением ркон-пароля(удалил команду rcon_password).

Всё-таки это ркон сломали, но не изменили, а узнали как-то. Только вот как?..

metoprolol · #5 Сообщение 03.04.2011, 00:06

Они и не собирались узнавать пароль. Скриптом запускается флуд-атака на сервер, потом пока сервер "в шоке", они прописывают себя админами и дело с концом. Дальше можно развлекаться, например поменять имя сервера и полетать от души. После перезапуска сервера из консоли, всё восстанавливается, кроме clients.txt. Глянь туда!

Sammit92 · #6 Сообщение 03.04.2011, 11:57

metoprolol писал(а):Они и не собирались узнавать пароль. Скриптом запускается флуд-атака на сервер, потом пока сервер "в шоке", они прописывают себя админами и дело с концом. Дальше можно развлекаться, например поменять имя сервера и полетать от души. После перезапуска сервера из консоли, всё восстанавливается, кроме clients.txt. Глянь туда!

clients.txt защищён от записи.
флуд-атаки не заметил, хотя мб это визуально и не возможно заметить. просто он второй раз при мне взламывал... сейчас он отстал, видимо больше ничего из его взломщиков не работает:)

Deus_Ex_Machina · #7 Сообщение 03.04.2011, 23:07

Mani Admin давно известен своими дырами. Кстати, связка из МА, SM и ES - большая нагрузка на сервер. Если есть SM, то зачем МА?

Sammit92 · #8 Сообщение 04.04.2011, 09:43

Deus_Ex_Machina писал(а):Mani Admin давно известен своими дырами. Кстати, связка из МА, SM и ES - большая нагрузка на сервер. Если есть SM, то зачем МА?

Прочитав инструкцию на сайте Mani и сделав всё, как там написано, у меня Mani ниразу не ломали.
Он мне нравится своей гибкостью и более удобной функциональностью, конкретно как админский модуль. Sourcemod имеет больше плагинов, но как админка он мне не нравится.

P.S. Речь идёт только о Mani V1.2Beta S для v34. Последующие версии его нестабильны, поэтому на v59 пока не буду его использовать, ибо крашится сервер.

net-master · #9 Сообщение 04.04.2011, 15:40

Sammit92 писал(а):
Deus_Ex_Machina писал(а):Mani Admin давно известен своими дырами. Кстати, связка из МА, SM и ES - большая нагрузка на сервер. Если есть SM, то зачем МА?
Прочитав инструкцию на сайте Mani и сделав всё, как там написано, у меня Mani ниразу не ломали.
Он мне нравится своей гибкостью и более удобной функциональностью, конкретно как админский модуль. Sourcemod имеет больше плагинов, но как админка он мне не нравится.

P.S. Речь идёт только о Mani V1.2Beta S для v34. Последующие версии его нестабильны, поэтому на v59 пока не буду его использовать, ибо крашится сервер.

Судя по вашему посту вы обсолютно не знакомы с sourcemod, нет ничего более гибкого чем sm, admin mani до него как до луны пешком и то наврядли никогда не будет она так гибка потому что это один целый плагин.

В моем админском меню sourcemod такой функционал который и не снился мани.

p.s а не ломали потоу что ни кому это не нужно было )

Lemah · #10 Сообщение 05.04.2011, 00:00

Знаете выбирать что ставить на сервер MAP или SM это уже дело администратора, оставим этот выбор на его совести, мой выбор остановился на MAP так как надо было в короткий срок собрать сервер и запустить на постоянную работу.

Как защитится от этого взлома?
Я решил данную задачу очень просто, так как у меня в сети перед всеми серверами имеется сервер(шлюз, firewall) который перенаправляет все запросы куда я ему скажу. Вывод, в итоге доступ к rcon я закрываю извне, если надо дать кому-то доступ то я делаю исключения в правилах.

Да может быть rcon взломают, и поменяют его на "Dot" всем известный, но воспользоватся им ну никак не смогут.

Вот решение с моей точки зрения. ))

mihaput · #11 Сообщение 06.04.2011, 00:28

net-master

В плане функционала и развлечений для сервера плагинов для СМ и больше.
У меня на сервере тоже стоит Мани и его хватает. Для игры его достаточно. Голосование, Афк менеджер, статистика убийства, перекид игроков, вотеКоманды и т.д.
А остальное уже, типо лишних кнопочек ркон команд или лишних кнопочек для развлечений мне это и не надо.
+ Параллельно стоит и СМ на том же сервере. Пару плагинов от СМ работают. Конфликтов между МП И СМ нет.
Поэтому это все таки дело вкуса кому что ставить, СМ или МП

Deus_Ex_Machina · #12 Сообщение 10.04.2011, 13:56

Почему-то на взлом серверов с одним СМ еще никто не жаловался.

Mouzes · #13 Сообщение 10.04.2011, 17:35

Deus_Ex_Machina писал(а):Почему-то на взлом серверов с одним СМ еще никто не жаловался.

Было было, у меня как то начали жаловаться на непонятные баны, по логам нашёл айди совсем не админские, сделал проще, сделал ркон генератором и поставил rcon_lock.smx на этом всё закончилось, но теперь не поадминить через hlsw что впрочем не так нужно.

Кстати автор хака выложил так же и патч. Хак (в частности на сервер сод) умеет либо узнавать ркон либо флудить запросами ркона. Короче говоря, если злоумышленник отправляет более 2 пакетов в секунду RCON служба станет недоступна для удаленного администрирования. Наш сервер СОД-4 года 2 страдал от этого хака, пока не пропатчили. То ркон узнавали то блочили.

Ссылка на патчи если кому пригодятся http://aluigi.org/patches.htm