67 odpowiedzi w tym temacie

[Equilibrium]

Postaram się krótko, zwięźle i na temat. Po tym haku tworzy pliki konfiguracyjne w cstrike/addons/amxmodx/configs/maps nazwane nazwą map np. de_dust2.txt, de_nuke.txt. W takim pliku znajduje się komenda, która zatrzymuje działanie pluginu rcon defencer. Zmienia hasło rcon. Edytuje plik motd.txt aby było przekierowanie na jego serwer. Jednak to się ogranicza do map, zależnie od ilość configów. Nadpisuje pliki resource aby gracze wchodzący na serwer mieli w menu serwera, lub co gorsze przy odpalaniu csa od razu im wchodzi. Aby się pozbyć problemu należy:

1. Wejść w cstrike/addons/amxmodx/confgis/maps usunąć pliki lub zawartości niechciane, jeżeli korzystamy z pliku konfiguracyjnego mapy.

2. Usunąć plik motd.txt lub wgrać swój.

3. Usunąć folder resource i wgrać czysty.

4. Ustawić chmod na 744 w pliku motd.txt

5. Sprawdzić czy w cstrike/addons/metamod/plugins.ini nie ma namiaru na aplikacje, która nie została wgrana przez nas. Czyli najczęściej używane np.

linux addons/amxmodx/dlls/amxmodx_mm_i386.so
linux addons/antidlfile/antidlfile_i386.so
linux addons/dproto/dproto_i386.so

6. Polecić graczom usunięcie folderu resource i wgranie czystego. Również usunięcie pliku userconfig.cfg Mam nadzieję, że poradnik się przyda komuś, bo dziś pewna osoba miała z tym problem, a ja z dwa tygodnie temu.

[Rodzyn]

Myślę że na pewno się przyda

[SkuBany]

Trzeba obawiać się tego ? Bo mam zamiar kupić serwa i nie wiem czy często takie rzeczy się dzieją i mam się bać że na mnie też trafi.

[question?]

Co do wspomnianego problemu należy sprawdzić czy w Metamotd nie ma pliku exec.cfg należy go usunąć, gdyż to on jest główną bazą tego ataku. Zdaża się, że plik ten ma ustawione atrybuty które nie pozwalaja na jego usunięcie z FTP - w tym wypadku piszemy o pomoc do hostingu by usuneli. Zabezpieczenie, które na dzień dzisiejszy prawdopodobnie działa to wgranie nowego engine na ftp.

[BlackDead]

Nie wiem czy to przypadek ale na moim western modzie stało się to 2 razy w ciągu miecha a na innych serwerach ani razu.Za 1 razem były jakieś przekierowania na ruskie serwy a dzisiaj po wejściu na mój serwer pobierał się zawirusowany plik cstrike.exe.

Motd ciągle sam się nadpisywał.Ten poradnik znalazłem jak już to naprawiłem samemu.
W moim przypadku wpis nadpisujący plik motd był także w addons/metamod/autoexec.cfg <-- Polecam dodać to do poradnika.

Ps, jak oni to robią że te pliki w folderze configs/maps są czytane jako pliki konfiguracyjne? U mnie one zmieniały hasło rcon oraz plik motd.

[Fail]

Hmm, czyli jak sie przed tym zabezpieczyc? Haslo rcon mialem w komendzie startowej, dodane regulki do banowania za bledne proby a i tak wbili.

Użytkownik Fail edytował ten post 30.06.2013 06:45

[Shaxu]

Czy jest inna możliwość włączania / wyłączania pluginów na danej mapie za wyjątkiem sposobu znanego sposobu config/maps ? 

 

Poradnik jak najbardziej przydatny +

[BlackDead]

+ oczywiście poleciał,ale mam 1 pytanie.Czy jeśli hasla się wgle nie poda czyli będzie rcon_password "" to rcon będzie działał? Będą mogli znowu się włamać?

[GwynBleidD]

rcon_password mogą zmienić tym hackiem. Jedynym sposobem na zabezpieczenie jest blokada możliwości wysyłania tych konkretnych plików na serwer. Sposobów jest wiele, m.in odpowiednie ustawienie chmodów, utworzenie plików (hack nie potrafi podmieniać plików, tylko potrafi utworzyć) i wyłączenie allowupload (wyłączy to również możliwość używania przez graczy własnych sprayów. Każdy będzie miał ten sam).

 

@Shaxu, zabezpieczenie się przed tym hackiem nie uniemożliwia Ci włączania/wyłączania pluginów tą metodą. Możesz jednak również utworzyć plugin, który będzie to ręcznie robił lub modyfikować swoje pluginy tak, aby same się włączały lub wyłączały na określonych mapach.

[Shaxu]

Możesz mi podać jakiś kod lub plugin który to umożliwia ? Głównie włączanie i wyłaczanie pluginów.

[Rodzyn]

Możesz mi podać jakiś kod lub plugin który to umożliwia ? Głównie włączanie i wyłaczanie pluginów.

AmxModMenu - 9 potem 6 i tam masz liste włączonych/wyłączonych pluginów (nie wczytuje pluginów wyłączonych przez ";" w plugins.ini) i tam można właśnie wyłączać/włączać i potem 8 dla zapisania konfiguracji. 

[Ogen Dogen]

Możesz zmodyfikować pluginy żeby sprawdzały na początku nazwę / prefix mapy http://amxx.pl/dokum...111/get-mapname

[Shaxu]

 

Możesz mi podać jakiś kod lub plugin który to umożliwia ? Głównie włączanie i wyłaczanie pluginów.

AmxModMenu - 9 potem 6 i tam masz liste włączonych/wyłączonych pluginów (nie wczytuje pluginów wyłączonych przez ";" w plugins.ini) i tam można właśnie wyłączać/włączać i potem 8 dla zapisania konfiguracji. 

 

 

Ręcznie jest nie opłacalne, chyba każdemu zależy aby odpalić moda i wszystko było podane jak na talerzu a nie za każdym razem musi jakiś admin wyłączać pluginy aby lepiej się grało, i napisałem wyraźniej wyłączać ponieważ , są też takie pluginy które są potrzebne do załączenia tego moda a ich nie można wrzucić do normalnej rozgrywki ze względu że będą psuły grę? Tak więc jak chcesz załączyć przez amxmodmenu nowe pluginy do modzika ?

[Scorpion Flail]

Jest jeszcze prostszy sposób: skoro wiemy jakie pliki tworzy / edytuje ten exploit to wystarczy:

 

na plik modt.txt nadać CHMOD 444 [tylko do odczytu]

Utworzyć nowy plik w: addons / metamod / exec.cfg i to samo: CHMOD 444

Utworzyć nowy plik w: addons / metamod / autoexec.cfg i CHMOD 444

Utworzyć folder w: addons / amxmodx / configs / maps i CHMOD 444 (jeśli już ktoś ma ten folder a w nim konfiguracje na danych mapach to też może nadać CHMOD)

 

 

[Fail]

te rozwiązanie jest to wyleczenie sie po hacku, a nie jego zabezpieczenie. Heh przecież znając twoje hasło rcon mogą ci cały serwer wybanować a nawet zmienić hostname na taki np. bez nazwy nazwy hostingu, co spowoduje ze hosting zawiesi i usunie twój serwer. Oni mogą tworzyć inne pliki niż tylko te których nazwy ty znasz.

 

Chyba logiczną sprawa jest ze wazniejsza jest profilaktyka i trzeba sie zabezpieczyć w 100% zeby nie wykradli hasla rcon zamiast sie zabezpieczac przed skutkami tuż po wykradnieciu??

Użytkownik Fail edytował ten post 01.07.2013 15:48

[GwynBleidD]

Fail, chyba nie wiesz do końca jak działa i do czego służy owy hack. Umożliwia on wgranie DOWOLNEGO pliku na serwer w DOWOLNE miejsce, bez znajomości hasła RCON.

 

Wgranie pliku NIC nie da, jeśli nie będzie on wgrany w specyficzne miejsce lub nie będzie miał odpowiedniej nazwy. Zabezpieczenie miejsc w których wgrane pliki mogą coś zrobić, lub stworzenie takich plików (wystarczą puste, bez CHMODów) gwarantuje bezpieczeństwo, gdyż miejsca już nie zostanie gdzie plik mógłby zaszkodzić.

 

Wgranie pliku może już posłużyć do wielu czynności: zmiana lub odczytanie hasła RCON, uruchomienie własnych pluginów, zmiana DOWOLNEJ rzeczy w konfiguracji serwera itp...

[ksekowny]

Przed czymkolwiek najlepiej przeglądnąć src pluginu którego się używa, żeby zabezpieczyć się bez takimi rzeczami.

[Fail]

1. Ehh dzisiaj również mi to wgrali do folderu configs plik pluginsjakis.ini i z niego czytalo nowe pluginy jak to mozliwe? jak zrobic aby pluginy byly czytane tylko z plugins.ini? bo np jak jest atac to jest folder plugins-atac.amxx i z niego rowniez czyta pluginy a jak zrobic aby nie bylo takiej mozliwosci? ze tylko plugins.ini odpowiada za czytanie pluginów? moglby ktos mi napisac taki plugin lub powiedziec jak to zrobic? Bo jezeli to by sie udalo poprawic to skoro nie moga edytowac istniejacych juz plikow to niebyloby mozliwosci zrobienia jakiegokolwiek uzytku z wgranych przez nich plikow.

 

2. pytanie. gdy ustawie to na 0 (wylacze):

sv_allowupload "1" //Pozwolenie na upload np: loga

 

to jakie to niesie za soba konsekwencje? Co straca gracze? Beda mogli pobierac mapy itp? wtedy ten hack powinien w 100% przestac dzialac jezeli dobrze rozumiem.

 

3. tak odbiegajac od tematu lecz nadal z nim zwiazana sprawa wgrali mi 3 pluginy:

steamupdate.amxx
BugFix.amxx
x-hlds.amxx

czy jest jakis sposob ich dekompilacji abym mogl podejrzec zawartosc? kiedys widzialem dekompilator online kyku czy jakos tak lecz juz nie dziala a chcialbym sprawdzic ich zawartosc, lecz jestem pewny ze kazdy odpowiada za jakies przekierowanie, lecz chce sprawdzic czy nie wyrzadzil dodatkowych szkód

 

 

 

 

 

 

Użytkownik Fail edytował ten post 01.08.2013 12:37

[Scorpion Flail]

Ten atak wykorzystuje lukę w binarkach. Jeśli chcesz się przed nim uchronić to pobierz i podmień:

 

 upfilefix.zip   381,92 KB  208 Ilość pobrań
    [do 5787]

 

Ja go mam od ostatniego ataku i od tamtej pory 0 problemów. A te twoje fixy możesz wywalić.

[Fail]

@up

czytaj ze zrozumieniem, w ktorym miejscu napisałem że to moje fixy? Przeczytaj co napisałem i dopiero daj odpowiedź - to nie są fixy tylko pluginy które wgrał mi ten "ruski hack".

 

posiadam taki sam engine_i686 o identycznym rozmiarze także to na pewno nie zabezpiecza cie przed hackiem tylko poprostu nikt nie chce sie wlamac na twój serwer - mozliwe ze jest zbyt malo popularny.