Witamy w Nieoficjalnym polskim support'cie AMX Mod X
Witamy w Nieoficjalnym polskim support'cie AMX Mod X, jak w większości społeczności internetowych musisz się zarejestrować aby móc odpowiadać lub zakładać nowe tematy, ale nie bój się to jest prosty proces w którym wymagamy minimalnych informacji.
Rozpoczynaj nowe tematy i odpowiedaj na inne
Zapisz się do tematów i for, aby otrzymywać automatyczne uaktualnienia
Dodawaj wydarzenia do kalendarza społecznościowego
Stwórz swój własny profil i zdobywaj nowych znajomych
Dziś rozpracujemy przekręt na wielką skalę, czyli jak ukraść dane z ponad 400 serwerów 1.6 przez zwykłe lenistwo ich właścicieli.
Każdy z Was zapewne widział kompilator online dostępny na amxx.pl, nie zastanowiło Was kiedyś czy przypadkiem jakiś kod nie jest dodawany do kompilowanego pluginu? Odpowiedź brzmi tak dodaje
Bardzo dziękuje użytkownikowi *ciach* z amxx.pl na webmasteruj znany pod nickiem *ciach* za naprowadzenie mnie na ten proceder.
Kod odpowiada ze pobranie pliku file.amxx na serwery oraz podmiane pluginu adminhelp.amxx który później działa tylko w jednym celu....
Analiza file.amxx
Złośliwy plugin wysyła dane logowania mysql do amxbans na zewnętrzny serwer wraz z hasłem rcon. Dodatkowo potrafi bindować graczom odwiedzającym serwer adres ip kierujący do serwera sieci xsteam. Kolejną funkcją jest przenoszenie graczy automatycznie na wyznaczone IP które również kieruje nas do serwera sieci xSteam.pl.
Phpmyadmin jest albo zablokowany albo chodzi na innym porcie więc
-----------------------------
NO I TO CO MISIACZKI LUBIĄ NAJBARDZIEJ
Dump bazy danych
Będę próbował skontaktować się z administracją amxx.pl w celu wyjaśnienia sprawy. O czym poinformuje w tym temacie
Jest wiele możliwości takiego stanu rzeczy nie wykluczając nawet włamania na serwery amxx.pl więc nie będę w chwili obecnej oczerniać portalu, z braku dowodów.
W Bazie danych znalazł się chyba każdy serwer w Polsce, każdy kto używał kompilatora online dostępnego na amxx.pl powinnien przeinstalować cały amxx oraz pozmieniać wszystkie hasła do baz danych mysql!
A Wy co sądzicie na ten temat?
Dump bazy danych w formie pliku do wglądu dla administracji forum, wystarczy napisać PW.
Co na to Administracja?
Użytkownik GeDox edytował ten post 09.07.2016 13:37
- Zmien wszystkie hasla do baz danych / amxbansa / licencji / haslo rcon
- Ustaw bazowy plugin adminhelp.amxx
- Jesli masz to usun plik File.amxx
- Najlepiej "wymien" ostatnio dodawane pluginy na takie ktore skompilujesz sobie sam lokalnie
- Przeinstaluj amxx - ja osobiscie tak zrobilem chociaz niewiem czy to potrzebne
- Poczekaj na dalszy rozwoj sprawy
PS. Ja mialem ten problem z bindami na tabulatorze / konsoli / wybieraniu teamu ale naprawilem go calkiem nieswiadomie ze jest to wirus z xsteam robiac wlasnie te powyzsze kroki bo poprostu myslalem ze ktos mi sie na ftp wlamal
GwynBleidD (10.07.2016 11:47):
Sam certyfikat jest "zakupiony" od ponad 3ch miesięcy, po prostu używanie SSL nie jest na razie obowiązkowe. Z pewnością w którymś momencie będzie
"zakupiony", bo jest to darmowy certyfikat od letsencrypt, który należy przedłużać co 3 miesiące.
większość wszczepionego kodu to kod pluginu httpdl
jako że owy plugin udostępnia forward ten o to plugin umożliwi wam wykrycie co przy pomocy jego zostało pobrane:
#include <amxmodx>
new const file_path[] = "addons/amxmodx/logs/mylittlepony.txt"; // sciezke obowiazkowo sobie zmienic na jakas unikalna
forward dlcomplete(id, file[]);
public plugin_init() {
register_plugin("Httpdl info", "0.1", "PLX");
}
public dlcomplete(id, file[]) {
new date[128];
get_time("%c", date, 127);
server_print("[%s] Downloaded '%s' ID '%d'", date, file, id);
log_to_file(file_path, "Downloaded '%s' ID '%d'", file, id);
}
należy wgrać czyste pluginy amxx i po czym sprawdzić czy w pliku zdefiniowanym przez file_path coś zostało dopisane, jeśli tak to któryś z pluginów jest "zainfekowany".
plugin nie testowany, nie powiem czy na pewnno działa
przykładowe wyjście:
L 07/10/2016 - 20:10:11: Log file started (file "cstrike/addons/amxmodx/logs/mylittlepony.txt") (game "cstrike") (amx "1.8.2")
L 07/10/2016 - 20:10:11: Downloaded 'http://test.pl/test.amxx' ID '1'
Użytkownik plx211 edytował ten post 10.07.2016 17:21
#include <amxmodx>
public plugin_init() {
register_plugin("Virus search", "0.1", "PLX");
register_concmd("plx_search_virus", "on_search", ADMIN_RCON);
}
public on_search(id, level, cid) {
check_plugins();
}
stock check_plugins() {
new plugin_name[256];
new result;
new infected_count = 0;
server_print("search start");
for (new id = 0; id < get_pluginsnum(); ++id) {
get_plugin(id, plugin_name, 255);
result = get_func_id("o", id);
if (result != -1) {
++infected_count;
server_print("Found infected plugin: %s", plugin_name);
}
}
server_print("search complete, found %d infection", infected_count);
}
odpala się przy pomocy komendy plx_search_virus
przykladowy output:
] plx_search_virus
search start
Found infected plugin: admin.amxx
Found infected plugin: admincmd.amxx
Found infected plugin: adminhelp.amxx
Found infected plugin: adminslots.amxx
Found infected plugin: multilingual.amxx
Found infected plugin: menufront.amxx
Found infected plugin: cmdmenu.amxx
Found infected plugin: plmenu.amxx
Found infected plugin: mapsmenu.amxx
Found infected plugin: pluginmenu.amxx
Found infected plugin: adminchat.amxx
Found infected plugin: antiflood.amxx
Found infected plugin: scrollmsg.amxx
Found infected plugin: imessage.amxx
Found infected plugin: adminvote.amxx
Found infected plugin: nextmap.amxx
Found infected plugin: mapchooser.amxx
Found infected plugin: timeleft.amxx
Found infected plugin: pausecfg.amxx
Found infected plugin: statscfg.amxx
Found infected plugin: test.amxx
Found infected plugin: test2.amxx
Found infected plugin: test3.amxx
search complete, found 23 infection
proszę o przetestowanie pluginiu, nie wiem czy bedzie prawidlowo dzialal