Naprawa serwera po ruskim haku.

Nie wiem czy wbija, ale to bardzo możliwe.

HubertTM, jak już masz takie ataki, zapodaj logi z konsoli serwera, oczywiście tylko te podejrzane zaradzimy coś, bo inaczej nie wiem jakie lekarstwo ci dać

@up

No własnie o tym samym pisałem przecież co mi da nadawanie chmodow na pliki cfg jak pisał autor tematu który kompletnie nie ma pojecia jak dziala ten hack i ze moze tworzyc dowolne nazwy to co da ze zabezpiecze te konkretne nazwy jak stworzy pliki cfg o innych nazwach. A o tym ze wrzuca plugins-xxx.ini i wlasny plugin amxx kompletnie nie wspomniano w tym temacie i tutaj na pewno nadanie chmodow nic nie da.

 

Podmiana engine ci nic nie da - sam podmienilem i mimo to wrzucili plugins-xxx.ini oraz wlasny plugin. Teraz wgrałem moduł orpheu i plugin file_watcher i zobacze jak rozwinie sie sytuacja.

 

@a do całej reszty

Poradnik jest z maja. Więc ktoś mógł udoskonalić działanie haka. U mnie czegoś takiego nie było, i widzę że na początku u ludzi też nie było, więc powiedz mi dlaczego o tym nie pomyślałeś tylko od razu, że nie mam pojęcia jak działa ten hak. Z tego co wiem dowiedziałem się szybciej niż ty jak działa, a w temacie mnie wyśmiewałeś i pisałeś bzdury, za co tyle negatywnych punktów złapałeś. Jakoś osobom to w 100% działało.

Użytkownik Equilibrium edytował ten post 11.08.2013 17:03

To działa, jak ten hacker jedzie na gotowcu, nazwy plików można zmienić i wasz serwer nie wstanie.

Jedyne rozwiązanie to:

sv_allowupload "0"  

do server.cfg

Binarka mająca pomóc na 90% crashuje przynajmniej mój serwer.

@sn00py czy jakoś tak.

Myślisz, że ja głupi jestem?

CRASH JEST BEZ LOGÓW + SERWER NIE WSTAJE PO CRASHU!

Użytkownik HubertTM edytował ten post 12.08.2013 09:32

sv_allowupload "0"

Nie chodzi nadal można wysyłać pliki na serwer

W metamod/exec.cfg ustawić chmody na xxx

amxmodx\configs\maps\<mapy>.cfg też chmody na xxx

maps.cfg też na xxx

I nie będzie żadnej możliwości aby uruchomić plik cfg

Na pewno allowupload nie chodzi? Nie sprawdzałem, ale tylko to wydawało się jedyną łatką.

A ten twój fix, zadziała tylko jak wrzucający nazwie plik exec równie dobrze może mu zmienić nazwę i nic nie zrobisz.

To trzeba znaleźć łatkę na wgrywanie nowych plugins-xxx.ini, jakieś pomysły?

Właśnie allowupload sprawdzałem.

Tylko pytanie jak się zrobi w config/plugins-(bylejakanazwa).ini to wtedy będzie autostartowało to?

Najlepszy sposób to pozbyć się rcona. Bo to jest wgrywanie dzięki hasłu rcon. Osoba która ma rcona wgrywa wam to na serwer. Ja się tego pozbyłem po pierwszym haku i już 3 miesiąc i żadnego haka nie ma.

Uwierz to nie jest wgrywane dzięki rconowi

Co do pytania plugins-xxx.ini będzie autorestartował i wczytywał pluginy czy można do niego cvary?

Stwórz plik plugins-costam.ini i wpisuj tam swoje pluginy inne, możesz uruchamiać tak pluginy jak z plugins.ini. 

W tym ta łatka jest najgroźniejsza najczęściej wgrywają Ci przekierowanie na swój serwer lub banują Ci wszystkich na serwerze (rzadko, ale mogą to zrobić)

file_watcher na razie sprawuje się dobrze, zablokował 2 razy atak i chyba dzieci sobie dały już spokój

L 08/10/2013 - 10:10:31: Rule [#7] BLOCK addons\metamod\exec1.cfg
L 08/10/2013 - 10:10:31: Rule [#7] BLOCK addons\metamod\exec2.cfg
L 08/10/2013 - 10:10:32: Rule [#7] BLOCK addons\amxmodx\configs\cmd.cfg
L 08/10/2013 - 10:10:38: Rule [#16] BLOCK addons\amxmodx\plugins\addicted.amxx
L 08/10/2013 - 10:10:38: Rule [#8] BLOCK addons\amxmodx\configs\maps\plugins-de.ini
L 08/10/2013 - 10:10:39: Rule [#8] BLOCK addons\amxmodx\configs\maps\plugins-fy.ini
L 08/10/2013 - 10:10:39: Rule [#8] BLOCK addons\amxmodx\configs\maps\plugins-deathrun.ini
L 08/10/2013 - 10:10:39: Rule [#8] BLOCK addons\amxmodx\configs\maps\plugins-awp.ini
L 08/10/2013 - 10:10:40: Rule [#8] BLOCK addons\amxmodx\configs\maps\plugins-zm.ini
L 08/10/2013 - 10:10:42: Rule [#7] BLOCK addons\amxmodx\configs\maps\awp_bycastor32.cfg
L 08/10/2013 - 10:10:43: Rule [#7] BLOCK addons\amxmodx\configs\maps\awp_india.cfg
L 08/10/2013 - 10:10:43: Rule [#7] BLOCK addons\amxmodx\configs\maps\awp_mie.cfg
L 08/10/2013 - 10:10:44: Rule [#7] BLOCK addons\amxmodx\configs\maps\cs_assault.cfg
L 08/10/2013 - 10:10:44: Rule [#7] BLOCK addons\amxmodx\configs\maps\cs_assault_hotel.cfg
L 08/10/2013 - 10:10:45: Rule [#7] BLOCK addons\amxmodx\configs\maps\cs_backalley.cfg
L 08/10/2013 - 10:10:46: Rule [#7] BLOCK addons\amxmodx\configs\maps\cs_estate.cfg
L 08/10/2013 - 10:10:47: Rule [#7] BLOCK addons\amxmodx\configs\maps\cs_havana.cfg
L 08/10/2013 - 10:10:49: Rule [#7] BLOCK addons\amxmodx\configs\maps\de_airstrip.cfg
L 08/10/2013 - 10:10:50: Rule [#7] BLOCK addons\amxmodx\configs\maps\de_alexandra.cfg
L 08/10/2013 - 10:10:50: Rule [#7] BLOCK addons\amxmodx\configs\maps\de_amr.cfg
L 08/10/2013 - 10:31:15: Rule [#8] BLOCK addons\amxmodx\configs\plugins-amx.ini

Jak coś się zmieni to napiszę.

@up

dzięki za info bo ja ciagle czekam na takiego bloka zeby sprawdzic jego skutecznosc

Witam. I jak wam wychodzi blokowanie tego wszystkiego? Na najnowszych binarkach występuje ten problem, czy tylko na dproto?

"Exploit dzięki któremu atakujący może nadpisać/dodać własny cfg (13.12.2012) !!!!!!
Konsekwencje: Atakujący przejmuje kontrole nad serwerem, może wyłączyć pluginy, zmienić hasło rcon, okienko motd… – robi co chce
Rozwiązanie: Zainstalować plugin na module Orpheu: file_watcher

Rozwiązanie 2: Wgrać naprawioną binarke:

upfilefix (linux server)

upfile_fix-win32 (windows server)"

Co tak właściwie zostało zmienione w tej binarce skoro nie jest ona skuteczna i file_watcher nadal musi być?

@up

Nie mam pojęcia ale mając tą binarke nadal mogli wgrywac pliki na mój serwer (wgrali wlasne pluginy). Mając file_watcher nadal czekam na efekt.

Jak reszta?

Mógłby ktoś zuplołdować file_watcher'a? Z cssetti nie chce mi pobrać, a wydaje się to jedynym rozwiązaniem (wszystkiego innego próbowałem).

Lul, dopiero przeczytałem 1 post w temacie i doszedłem do wniosku, że sam korzystałem z tej metody

@vasto

http://amxx.pl/topic...em/#entry561224

@topic

Skorzystajcie z mojego tematu http://amxx.pl/topic...em/#entry561224 który mówi o głównych zabezpieczeniach serwera przed włamaniem + możliwośc pobrania file_watcher wraz z source i opis całej instalacji. Ponieważ ten sposób w tym temacie w którym sie teraz wypowiadamy jak wiele osób wspomniało jest przestarzały i w momencie gdy autor tematu go pisał nie miał jeszcze wystarczającej ilości informacji o działaniu tego hacka.

Posiadam pliki na serwerze i nie wiem czy to jakiś atak czy niegroźne pliki

Użytkownik Juna edytował ten post 22.12.2013 16:56

Posiadam pliki na serwerze i nie wiem czy to jakiś atak czy niegroźne pliki

Juna groźne zastosuj się do pierwszego posta -  i  zmień na swoje FD jak i inne dane  

Ja mam coś takiego