Помогите разобраться. Ломают маньку

Обсуждаем все, что относится к выделенным серверам *NIX (Unix, Linux) и Windows
Сообщение
Автор
pavlin09
Лейтенант
Лейтенант
Сообщения: 102
Зарегистрирован: 14.07.2008

#1 Сообщение 09.06.2011, 23:35

Ситуация следующая:
Пару дней назад какой-то урод взламал админку.
Захожу на фтп там файл клиентс.ткст заменен на новый и появился файл админлист.ткст.олд. Удаляю оба, вставляю тот клиентс.ткст, который мне нужен, по логам вычисляю засранца - баню по стиму и диапазону айпи.
Запускаю сервак опять клиентс.ткст новый. Помогла только замена всей ветки маньки в кфг, хотя никаких лишних файлов там не было.
Сегодня опять таже история. Опять подчистил, забанил.
Вечером снова, только гад этот не засветился. Т.е. в клиентс.ткст чужой стимайди вставил.

В общем знает ли кто как с этим бороться? Или как они это делают (в общих чертах естественно, чтоб другой кто не научился), может сам придумаю как с этим справляться?

Подозреваю что ломают непосредственно с сервера, имея доступ к фтп они бы наверняка че похуже натворили.

Аватара пользователя
Se7en
Капитан
Капитан
Сообщения: 419
Зарегистрирован: 21.09.2009
Откуда: Москва
Благодарил (а): 593 раза
Поблагодарили: 8 раз
Контактная информация:

#2 Сообщение 10.06.2011, 01:27

es tools стоит? пробовал на клиентс.тхт ставить "только чтение"?

Аватара пользователя
SeregaIRK
Лейтенант
Лейтенант
Сообщения: 172
Зарегистрирован: 07.02.2010
Откуда: Иркутск

#3 Сообщение 10.06.2011, 08:11

pavlin09 писал(а):Ситуация следующая:
Пару дней назад какой-то урод взламал админку.
Захожу на фтп там файл клиентс.ткст заменен на новый и появился файл админлист.ткст.олд. Удаляю оба, вставляю тот клиентс.ткст, который мне нужен, по логам вычисляю засранца - баню по стиму и диапазону айпи.
Запускаю сервак опять клиентс.ткст новый. Помогла только замена всей ветки маньки в кфг, хотя никаких лишних файлов там не было.
Сегодня опять таже история. Опять подчистил, забанил.
Вечером снова, только гад этот не засветился. Т.е. в клиентс.ткст чужой стимайди вставил.

В общем знает ли кто как с этим бороться? Или как они это делают (в общих чертах естественно, чтоб другой кто не научился), может сам придумаю как с этим справляться?

Подозреваю что ломают непосредственно с сервера, имея доступ к фтп они бы наверняка че похуже натворили.
Поставь ServSecurity(Eventscripts)+DosProtect(Metamod)+все файлы где прописываются админы сделай только для чтения. Да можно еще попробовать поставить ESTools, там вроде были тоже фичи для защиты.
Также есть всякие защиты от Eventscripts (плагин exploit и т.п.)
Новых админов назначать из игры не стоит, ИМХО.
P.S. У мну как-то пытались ломануть 2 раза. В 1 случае Маяк выдал бан (там у типа был целый пакет по взлому сервака), во 2 случае (маяка тогда у мну еще не было) вроде как ServSecurity спас, но там я так и не понял че-каво, в логах посмотрел что бан и всё :D
Intel® Core™ i7-2600K, ASUS LGA 1155 P8Z68-V, DIMM DDR-3 2x4Gb 1600MHz Corsair Vengeance, ASUS GTX 560 Ti TOP...

Аватара пользователя
xiloid
Капитан
Капитан
Сообщения: 341
Зарегистрирован: 30.10.2008
Поблагодарили: 3 раза

#4 Сообщение 10.06.2011, 10:37

Кстати да, позавчера тоже вот таким образом товарищ (который совсем нам не товарищ) из Тулы испортил мне clients.txt на двух серверах v. 34.
Как он это сделал остается загадкой, т.к. я не использую es_tools. Видимо в старой мане таки есть дырищщи.
Топикстартеру соверую поставить ServSecurity, она при попытке изменить clients.txt сразу же подменяет его на резервную копию из своей папке, так что можно гарантировать что подобных взломов больше не случится.

Deus_Ex_Machina
Капитан
Капитан
Сообщения: 492
Зарегистрирован: 23.05.2010
Благодарил (а): 14 раз
Поблагодарили: 43 раза
Контактная информация:

#5 Сообщение 10.06.2011, 15:58

Проблема решается удалением всякого дерьма из папки addons и установкой Metamod+Sourcemod

pavlin09
Лейтенант
Лейтенант
Сообщения: 102
Зарегистрирован: 14.07.2008

#6 Сообщение 11.06.2011, 14:20

Se7en_RUS писал(а):es tools стоит? пробовал на клиентс.тхт ставить "только чтение"?
не стоит. На фтп через файлзилу захожу. Толи она не позволяет только чтение поставить, толи хостер не дает. Попробую у хостера выяснить.

Добавлено спустя 9 минут 49 секунд:
xiloid писал(а):соверую поставить ServSecurity.
А для нее эванскрипт еще нужен?
Просто давно слышал мнение что толи еванскрипт толи естул дыры добавляют. Так то вещь полезная (позволяет зомбям ножи выкидывать :wink: ).
И можете тогда версии, подходящие для 34 версии подсказать.

Добавлено спустя 2 минуты 36 секунд:
Deus_Ex_Machina писал(а):Проблема решается удалением всякого дерьма из папки addons
Что поделать - от вредных привычек не так легко избавиться.

Спасибо всем за советы.

Аватара пользователя
__A
Капитан
Капитан
Сообщения: 392
Зарегистрирован: 03.02.2009
Благодарил (а): 38 раз
Поблагодарили: 113 раз

#7 Сообщение 14.06.2011, 14:15

Deus_Ex_Machina писал(а):Проблема решается удалением всякого дерьма из папки addons и установкой Metamod+Sourcemod
дауж, точно :D
сам сидел на маньке, потом как серв ломанули на в34, теперь ток SM+MM

Аватара пользователя
Deimos
VIP
VIP
Сообщения: 569
Зарегистрирован: 13.05.2007
Поблагодарили: 45 раз

#8 Сообщение 14.06.2011, 14:57

sv_allowupload 0 - это раз
rcon_password в строке запуска, а не в server.cfg - два
папка \cstrike\cfg со всеми подпапками (но кроме файлов banned_id.cfg и banned_ip.cfg) - запрет (пользователю, от имени которого запускается srcds) на создание и изменение файлов (и Windows начиная с 2000, и Linux такой возможностью располагают) - три

и вдогонку совет - пересмотри список плагинов, реально необходимые (zBlock, Mani) оставь, а всякую хрень посноси нафиг (если на метамоде ничего не стоит - то и его снеси).

pavlin09
Лейтенант
Лейтенант
Сообщения: 102
Зарегистрирован: 14.07.2008

#9 Сообщение 16.06.2011, 01:03

Bl@cK C@pt@iN писал(а):sv_allowupload 0
А спреям это не будет мешать или чему-нибудь такому?

Запрет на запись хостер не дает выставить

Вообще нашел один плагин под сорсмод, запрещающий закачку на сервак файлов типа exe, cfg и т.п.
Пока админка не слетала.

Аватара пользователя
Deimos
VIP
VIP
Сообщения: 569
Зарегистрирован: 13.05.2007
Поблагодарили: 45 раз

#10 Сообщение 16.06.2011, 02:31

А спреям это не будет мешать или чему-нибудь такому?
Будет конечно. Но когда ломали наши серверы, мы решили, что спреи не так важны, как безопасность сервера. И среди вариантов "нет спреев" и "бардак со списком админов" мы выбрали первый.
Запрет на запись хостер не дает выставить
Что, даже банальный Read Only файлам clients.txt и server.cfg? Ушлёпки ваши хостеры)) Я у провайдера размещал игровые серверы (бесплатно!), и мне во всём шли навстречу, а ваши хостеры бабло от вас получают и ещё палки в колёса ставят.
Вообще нашел один плагин под сорсмод, запрещающий закачку на сервак файлов типа exe, cfg и т.п.
Пока админка не слетала.
Ну, если уж ставить сорсмод, то зачем оставлять Маньку? Можно админить через сорсмод с таким же успехом. А если убрать Маньку, то ломать будет нечего))

pavlin09
Лейтенант
Лейтенант
Сообщения: 102
Зарегистрирован: 14.07.2008

#11 Сообщение 16.06.2011, 22:17

Bl@cK C@pt@iN писал(а):Можно админить через сорсмод с таким же успехом. А если убрать Маньку, то ломать будет нечего))
Опять сломали. Решил таки удалить маньку нафиг.

Серву год почти - менять хостера теперь не вариант, хоть он и поганенький в некоторых моментах.

Аватара пользователя
GoDtm666
Модератор
Модератор
Сообщения: 1135
Зарегистрирован: 03.07.2009
Откуда: Оттуда
Поблагодарили: 5 раз
Контактная информация:

#12 Сообщение 16.06.2011, 22:32

pavlin09
Если у тебя сервер линукс, то вот пройдись поссылке.
http://www.myarena.ru/forum/viewtopic.p ... =10#p20797
И все будет решено.
Изображение
Наш игровой Counter-Strike: Source Orange Box сервер.
[frame]
Counter-Strike: Source no-Steam сервер

Изображение

IP: 89.179.122.106:27016
connect 89.179.122.106:27016
steam://connect/89.179.122.106:27016[/frame]

[frame]
Half-Life 2
[youtube]CC2PFQVe-8U[/youtube]
[/frame]
Четкий комент
Я даже не знаю, что такое.

pavlin09
Лейтенант
Лейтенант
Сообщения: 102
Зарегистрирован: 14.07.2008

#13 Сообщение 17.06.2011, 02:24

GoDtm666 писал(а):pavlin09
Если у тебя сервер линукс, то вот пройдись поссылке.
http://www.myarena.ru/forum/viewtopic.p ... =10#p20797
И все будет решено.
Виндовский к сожалению.

В принципе проблема решена: нет маньки - нет взлома маньки.
В общем-то оно и к лучшему, давно пора было от нее избавиться.

Deus_Ex_Machina
Капитан
Капитан
Сообщения: 492
Зарегистрирован: 23.05.2010
Благодарил (а): 14 раз
Поблагодарили: 43 раза
Контактная информация:

#14 Сообщение 17.06.2011, 20:06

Верное решение.

pavlin09
Лейтенант
Лейтенант
Сообщения: 102
Зарегистрирован: 14.07.2008

#15 Сообщение 20.06.2011, 00:24

И сорс взломали. Какой-то левый плагин на сервер закачали.
Буду пробовать sv_allowupload 0 теперь.

Ответить