Skocz do zawartości

Witamy w Nieoficjalnym polskim support'cie AMX Mod X

Witamy w Nieoficjalnym polskim support'cie AMX Mod X, jak w większości społeczności internetowych musisz się zarejestrować aby móc odpowiadać lub zakładać nowe tematy, ale nie bój się to jest prosty proces w którym wymagamy minimalnych informacji.
  • Rozpoczynaj nowe tematy i odpowiedaj na inne
  • Zapisz się do tematów i for, aby otrzymywać automatyczne uaktualnienia
  • Dodawaj wydarzenia do kalendarza społecznościowego
  • Stwórz swój własny profil i zdobywaj nowych znajomych
  • Zdobywaj nowe doświadczenia

Dołączona grafika Dołączona grafika

Guest Message by DevFuse
 

Zdjęcie

Dodawanie kodu z kompilatora


  • Nie możesz napisać tematu
  • Zaloguj się, aby dodać odpowiedź
23 odpowiedzi w tym temacie

#1 GeDox

    Wszechpomocny

  • Użytkownik

Reputacja: 125
Zaawansowany

  • Postów:315
  • Steam:steam
  • Imię:Przemysław
  • Lokalizacja:Kielce
Offline

Napisano 09.07.2016 13:18

*
Popularny

https://webmasteruj....-danych-t79936/

 

Cytat posta:

 


Hello again!

Dziś rozpracujemy przekręt na wielką skalę, czyli jak ukraść dane z ponad 400 serwerów 1.6 przez zwykłe lenistwo ich właścicieli.

 

Każdy z Was zapewne widział kompilator online dostępny na amxx.pl, nie zastanowiło Was kiedyś czy przypadkiem jakiś kod nie jest dodawany do kompilowanego pluginu? Odpowiedź brzmi tak dodaje 001.gif

 

Bardzo dziękuje użytkownikowi *ciach* z amxx.pl na webmasteruj znany pod nickiem  *ciach* za naprowadzenie mnie na ten proceder.

 

TAKI KOD 001.gif

Spoiler

 

Analiza file.amxx

af742ab506681c4b9b91560b0836bbf4.png

Złośliwy plugin wysyła dane logowania mysql do amxbans na zewnętrzny serwer wraz z hasłem rcon. Dodatkowo potrafi bindować graczom odwiedzającym serwer adres ip kierujący do serwera sieci xsteam. Kolejną funkcją jest przenoszenie graczy automatycznie na wyznaczone IP które również kieruje nas do serwera sieci xSteam.pl.

 

 

Phpmyadmin jest albo zablokowany albo chodzi na innym porcie więc 001.gif

a89e8b596a74c2031a9eff895e16cc3f2.png

 

-----------------------------

99720eca3a22acb339985c6a859741c25.png

 

NO I TO CO MISIACZKI LUBIĄ NAJBARDZIEJ 001.gif

 

Dump bazy danych 001.gif

116fea773498a1c41e9a7e1e176b7b1a.png

 

Będę próbował skontaktować się z administracją amxx.pl w celu wyjaśnienia sprawy. O czym poinformuje w tym temacie 001.gif

Jest wiele możliwości takiego stanu rzeczy nie wykluczając nawet włamania na serwery amxx.pl więc nie będę w chwili obecnej oczerniać portalu, z braku dowodów.

 

 W Bazie danych znalazł się chyba każdy serwer w Polsce, każdy kto używał kompilatora online dostępnego na amxx.pl powinnien przeinstalować cały amxx oraz pozmieniać wszystkie hasła do baz danych mysql!

 

A Wy co sądzicie na ten temat?

 

Dump bazy danych w formie pliku do wglądu dla administracji forum, wystarczy napisać PW.

Co na to Administracja?


Użytkownik GeDox edytował ten post 09.07.2016 13:37

  • +
  • -
  • 9

#2 DarkGL

    Nie oddam ciasteczka !

  • Administrator

Reputacja: 6 553
Godlike

  • Postów:11 976
  • GG:
  • Steam:steam
  • Imię:Rafał
  • Lokalizacja:Warszawa
Offline

Napisano 09.07.2016 15:10

Właściciel został poinformowany. Podejrzewam włamanie ale jako tako więcej informacji będziemy mogli udzielić dopiero po sprawdzeniu plików logów etc.


  • +
  • -
  • 0

#3 DarkGL

    Nie oddam ciasteczka !

  • Administrator

Reputacja: 6 553
Godlike

  • Postów:11 976
  • GG:
  • Steam:steam
  • Imię:Rafał
  • Lokalizacja:Warszawa
Offline

Napisano 09.07.2016 17:01

Kompilator został wyłączony a jego pliki zabezpieczone


  • +
  • -
  • 0

#4 Boziak

    Początkujący

  • Użytkownik

Reputacja: 17
Początkujący

  • Postów:17
  • Imię:b
Offline

Napisano 09.07.2016 17:11

+1


  • +
  • -
  • 0

#5 Poftorek

    Zaawansowany

  • Użytkownik

Reputacja: 3
Nowy

  • Postów:106
  • GG:
  • Imię:Damian
  • Lokalizacja:Polska Wieś
Offline

Napisano 09.07.2016 18:30

Jak został wyłączony jak nie został wyłączony? :mur:


  • +
  • -
  • 0

#6 DR HOUSE

    Zaawansowany

  • Użytkownik

Reputacja: 5
Nowy

  • Postów:130
Offline

Napisano 09.07.2016 18:49

Jak został wyłączony jak nie został wyłączony? :mur:

To spróbuj coś skompilować a potem pisz. Fakt, mogliby całą podstronę wyłączyć z komunikatem ale fakt faktem, że kompilować na ten moment się nie da.


  • +
  • -
  • 0

#7 Boziak

    Początkujący

  • Użytkownik

Reputacja: 17
Początkujący

  • Postów:17
  • Imię:b
Offline

Napisano 09.07.2016 19:00

https://efantazja.eu/wyciek.php

 

Lista zainfekowanych serwerów tylko IP oraz NAZWA.


  • +
  • -
  • 0

#8 Poftorek

    Zaawansowany

  • Użytkownik

Reputacja: 3
Nowy

  • Postów:106
  • GG:
  • Imię:Damian
  • Lokalizacja:Polska Wieś
Offline

Napisano 09.07.2016 19:33

Jeżeli wy uważacie

Wystąpił nieznany błąd (127)

za wyłączenie kompilatora to ok.


  • +
  • -
  • 0

#9 NNK

    Zaawansowany

  • Użytkownik

Reputacja: 19
Początkujący

  • Postów:102
  • GG:
  • Imię:Kamil
  • Lokalizacja:Limanowa
Offline

Napisano 10.07.2016 08:06

No to panowie, pasuje lokalnie pluginy pokompilowac dla pewnosci :] Cale szczescie ze ktos sie kapnal w ogóle

 

xsteam.pl 

Ta witryna jest nieosiągalna
Ktos sie juz chyba zajał tym

Użytkownik NNK edytował ten post 10.07.2016 08:30

  • +
  • -
  • 0

#10 VertuS

    Zaawansowany

  • Użytkownik

Reputacja: 25
Życzliwy

  • Postów:109
  • GG:
  • Imię:Szymon
  • Lokalizacja:Polska
Offline

Napisano 10.07.2016 08:14

No to teraz ktoś niech powie co mamy robić jak są "zainfekowane" nasze serwery?


GwynBleidD (10.07.2016 11:50):
Niedługo wydamy oficjalny poradnik jak sprawdzić, czy serwer został zainfekowany i jak radzić sobie z infekcją.

Na razie polecam skorzystać z porady od NNK post niżej. Powinna być skuteczna.

  • +
  • -
  • 0

H@ 3MAPS:

b_350_20_FF0000_FF0000_FFFFFF_000000.png


#11 NNK

    Zaawansowany

  • Użytkownik

Reputacja: 19
Początkujący

  • Postów:102
  • GG:
  • Imię:Kamil
  • Lokalizacja:Limanowa
Offline

Napisano 10.07.2016 08:33

Vertus:

 

- Zmien wszystkie hasla do baz danych / amxbansa / licencji / haslo rcon

- Ustaw bazowy plugin adminhelp.amxx

- Jesli masz to usun plik File.amxx

- Najlepiej "wymien" ostatnio dodawane pluginy na takie ktore skompilujesz sobie sam lokalnie

- Przeinstaluj amxx - ja osobiscie tak zrobilem chociaz niewiem czy to potrzebne :D

- Poczekaj na dalszy rozwoj sprawy :)

 

PS. Ja mialem ten problem z bindami na tabulatorze / konsoli / wybieraniu teamu ale naprawilem go calkiem nieswiadomie ze jest to wirus z xsteam robiac wlasnie te powyzsze kroki bo poprostu myslalem ze ktos mi sie na ftp wlamal


  • +
  • -
  • 0

#12 DR HOUSE

    Zaawansowany

  • Użytkownik

Reputacja: 5
Nowy

  • Postów:130
Offline

Napisano 10.07.2016 09:45

Widze amxx certyfikat kupilo, w czas ;P


GwynBleidD (10.07.2016 11:47):
Sam certyfikat jest "zakupiony" od ponad 3ch miesięcy, po prostu używanie SSL nie jest na razie obowiązkowe. Z pewnością w którymś momencie będzie :)

"zakupiony", bo jest to darmowy certyfikat od letsencrypt, który należy przedłużać co 3 miesiące.

  • +
  • -
  • 0

#13 plx211

    Wszechpomocny

  • Użytkownik

Reputacja: 231
Wszechwidzący

  • Postów:397
  • Lokalizacja:Polska
Offline

Napisano 10.07.2016 15:38

Prosty skrypt sprawdzający hashe standardowych pluginów

https://github.com/plx211/AVHD

Skompilujcie sobie sami icon_wink.gif

odpala się go przy pomocy komendy plx_check_file

przykładowy output (w tym przypadku specjalnie wgralem 1 zarazony plik)

] plx_check_file 
[OK]addons/amxmodx/plugins/admin.amxx status: hash equal
[OK]addons/amxmodx/plugins/adminchat.amxx status: hash equal
[OK]addons/amxmodx/plugins/admincmd.amxx status: hash equal
[ERROR] addons/amxmodx/plugins/adminhelp.amxx status: hash not equal
[OK]addons/amxmodx/plugins/adminslots.amxx status: hash equal
[OK]addons/amxmodx/plugins/admin_sql.amxx status: hash equal
[OK]addons/amxmodx/plugins/adminvote.amxx status: hash equal
[OK]addons/amxmodx/plugins/amxmod_compat.amxx status: hash equal
[OK]addons/amxmodx/plugins/antiflood.amxx status: hash equal
[OK]addons/amxmodx/plugins/cmdmenu.amxx status: hash equal
[OK]addons/amxmodx/plugins/imessage.amxx status: hash equal
[OK]addons/amxmodx/plugins/mapchooser.amxx status: hash equal
[OK]addons/amxmodx/plugins/mapsmenu.amxx status: hash equal
[OK]addons/amxmodx/plugins/menufront.amxx status: hash equal
[OK]addons/amxmodx/plugins/miscstats.amxx status: hash equal
[OK]addons/amxmodx/plugins/multilingual.amxx status: hash equal
[OK]addons/amxmodx/plugins/nextmap.amxx status: hash equal
[OK]addons/amxmodx/plugins/pausecfg.amxx status: hash equal
[OK]addons/amxmodx/plugins/plmenu.amxx status: hash equal
[OK]addons/amxmodx/plugins/pluginmenu.amxx status: hash equal
[OK]addons/amxmodx/plugins/restmenu.amxx status: hash equal
[OK]addons/amxmodx/plugins/scrollmsg.amxx status: hash equal
[OK]addons/amxmodx/plugins/statscfg.amxx status: hash equal
[OK]addons/amxmodx/plugins/stats_logging.amxx status: hash equal
[OK]addons/amxmodx/plugins/statsx.amxx status: hash equal
[OK]addons/amxmodx/plugins/telemenu.amxx status: hash equal
[OK]addons/amxmodx/plugins/timeleft.amxx status: hash equal
Count [OK / Error]: 26 / 1

Pisze na sourcemod więc proszę wybaczyć ewentualne błędy.

Prawdopodobnie będzie prawidłowo pokazywać tylko dla amxmodx 1.8.2 stable

 

Dotacjie miło widziane xD


  • +
  • -
  • 0

#14 plx211

    Wszechpomocny

  • Użytkownik

Reputacja: 231
Wszechwidzący

  • Postów:397
  • Lokalizacja:Polska
Offline

Napisano 10.07.2016 17:18

*
Popularny

większość wszczepionego kodu to kod pluginu httpdl

jako że owy plugin udostępnia forward 001.gif ten o to plugin umożliwi wam wykrycie co przy pomocy jego zostało pobrane:

#include <amxmodx>

new const file_path[] = "addons/amxmodx/logs/mylittlepony.txt"; // sciezke obowiazkowo sobie zmienic na jakas unikalna

forward dlcomplete(id, file[]);

public plugin_init() {
  register_plugin("Httpdl info", "0.1", "PLX");
}

public dlcomplete(id, file[]) {
  new date[128];
  get_time("%c", date, 127); 
  server_print("[%s] Downloaded '%s' ID '%d'", date, file, id);
  log_to_file(file_path, "Downloaded '%s' ID '%d'", file, id); 
}  

należy wgrać czyste pluginy amxx i po czym sprawdzić czy w pliku zdefiniowanym przez file_path coś zostało dopisane, jeśli tak to któryś z pluginów jest "zainfekowany".

plugin nie testowany, nie powiem czy na pewnno działa

 

przykładowe wyjście:

L 07/10/2016 - 20:10:11: Log file started (file "cstrike/addons/amxmodx/logs/mylittlepony.txt") (game "cstrike") (amx "1.8.2")
L 07/10/2016 - 20:10:11: Downloaded 'http://test.pl/test.amxx' ID '1'

Użytkownik plx211 edytował ten post 10.07.2016 17:21

  • +
  • -
  • 5

#15 plx211

    Wszechpomocny

  • Użytkownik

Reputacja: 231
Wszechwidzący

  • Postów:397
  • Lokalizacja:Polska
Offline

Napisano 10.07.2016 18:11

Prawdopodobnie ostatni plugin 001.gif

Skanner:

#include <amxmodx>

public plugin_init() {
  register_plugin("Virus search", "0.1", "PLX");
  register_concmd("plx_search_virus", "on_search", ADMIN_RCON);
}

public on_search(id, level, cid) {
  check_plugins();
}

stock check_plugins() {
  new plugin_name[256];
  new result;
  new infected_count = 0;
  server_print("search start");
  for (new id = 0; id < get_pluginsnum(); ++id) {
    get_plugin(id, plugin_name, 255);
    result = get_func_id("o", id);
    if (result != -1) {
      ++infected_count;
      server_print("Found infected plugin: %s", plugin_name);
    }
  }
  server_print("search complete, found %d infection", infected_count);
}

odpala się przy pomocy komendy plx_search_virus

przykladowy output:

] plx_search_virus 
search start
Found infected plugin: admin.amxx
Found infected plugin: admincmd.amxx
Found infected plugin: adminhelp.amxx
Found infected plugin: adminslots.amxx
Found infected plugin: multilingual.amxx
Found infected plugin: menufront.amxx
Found infected plugin: cmdmenu.amxx
Found infected plugin: plmenu.amxx
Found infected plugin: mapsmenu.amxx
Found infected plugin: pluginmenu.amxx
Found infected plugin: adminchat.amxx
Found infected plugin: antiflood.amxx
Found infected plugin: scrollmsg.amxx
Found infected plugin: imessage.amxx
Found infected plugin: adminvote.amxx
Found infected plugin: nextmap.amxx
Found infected plugin: mapchooser.amxx
Found infected plugin: timeleft.amxx
Found infected plugin: pausecfg.amxx
Found infected plugin: statscfg.amxx
Found infected plugin: test.amxx
Found infected plugin: test2.amxx
Found infected plugin: test3.amxx
search complete, found 23 infection

proszę o przetestowanie pluginiu, nie wiem czy bedzie prawidlowo dzialal icon_wink.gif


  • +
  • -
  • 0

#16 CoreMor

    Życzliwy

  • Użytkownik

Reputacja: 1
Nowy

  • Postów:23
Offline

Napisano 30.08.2016 17:02

Wiadomo może kiedy będzie znów działał?


  • +
  • -
  • 0

b_350_20_080C69_5F4FCA_66B2DC_4236E8.png


#17 Mavxvx

    Profesjonalista

  • Użytkownik

Reputacja: 13
Początkujący

  • Postów:151
  • GG:
Offline

Napisano 30.08.2016 18:10

Wiadomo może kiedy będzie znów działał?

 

Nie wiadomo.

Najlepsza możliwość to kompilacja lokalna.


  • +
  • -
  • 0

Jeżeli pomogłem rozwiązać Twój problem daj mi Reputację na ;) 
 
Wymienię środki z zabijaki na psc/doładownie
*KLIKNIJ ABY DOWIEDZIEĆ SIĘ WIĘCEJ*


#18 l3szcz

    Just Leszcz :>

  • Użytkownik

Reputacja: 52
Pomocny

  • Postów:374
  • GG:
  • Imię:Tomek
  • Lokalizacja:Pomorze
Offline

Napisano 01.09.2016 08:47

http://www.amxmodx.org/webcompiler.cgi
Możecie skorzystać z tego.


  • +
  • -
  • 1

@DarkGL - daj mi ciacho!  :crazy:


#19 allahsnackbar

    Pomocny

  • Użytkownik

Reputacja: 0
Nowy

  • Postów:70
  • Lokalizacja:Łódź
Offline

Napisano 04.12.2016 16:49

Ehh...

 

A może administracja najlepiej usunie tą instrukcje aby nie pojawiało się więcej hakerów bonzo? ;)


  • +
  • -
  • 0

#20 alaska__91

    Nowy

  • Nowy

Reputacja: 0
Nowy

  • Postów:3
  • Imię:KAmil
  • Lokalizacja:Płock
Offline

Napisano 25.12.2016 17:07

Komnpilator caly czas nie aktywny jak moge pobierac  pluginy czy wogóle nie moge? dajcie jakies info bo juz niewiem ocb

 

 


  • +
  • -
  • 0




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych