18 odpowiedzi w tym temacie

[Topkowo]

Witam.

Serwery posiadam na zabijace i pukawce i mam doczynienia z "hackerem".

Wgrane orpheu wszystkie łatki anti dl file i wiele innych typu raiz0 etc.

Biniary 5787 v2

dproto 0.9.307

 

 

Nie wiem w jaki sposób hacker to robi ale wchodzi na serw zakłada hasło banuje wszystkich graczy, jakby z rcona jednakże wgrany plugin wyłaczajacy mozliwosc korzystania z rcona rcon został zabezpieczony a nawet go usunełem całkowicie jednakże to nie pomaga.

Logów nie ma ma ktoś może jakieś sugestie?

[DarkGL]

pokaż plik users.ini oraz listę pluginów

Użytkownik DarkGL edytował ten post 02.09.2013 02:05

[Rivit]

skoro banuje to sprawdz plugin odpowiedzialny za bany (plmenu chyba). Zobacz czy wymagana jest flaga czy może nie

 

Podaj to co napisał DarkGL

[Topkowo]

Lista pluginów no ok:

; AMX Mod X plugins
amxbans_core.amxx          ;  amxbans  
amxbans_main.amxx debug          ;  mxbans  
; Admin Base - Always one has to be activated
;admin.amxx ; admin base (required for any admin-related)
;admin_sql.amxx ; admin base - SQL version (comment admin.amxx)


; Basic
admincmd.amxx ; basic admin console commands
adminhelp.amxx ; help command for admin console commands
adminslots.amxx ; slot reservation
multilingual.amxx ; Multi-Lingual management


; Menus
menufront.amxx ; front-end for admin menus
cmdmenu.amxx ; command menu (speech, settings)
ReasonKicker.amxx 
plmenu.amxx ; players menu (kick, ban, client cmds.)
;telemenu.amxx ; teleport menu (Fun Module required!)
mapsmenu.amxx ; maps menu (vote, changelevel)
pluginmenu.amxx ; Menus for commands/cvars organized by plugin


; Chat / Messages
adminchat.amxx ; console chat commands
antiflood.amxx ; prevent clients from chat-flooding the server
scrollmsg.amxx ; displays a scrolling message
imessage.amxx ; displays information messages
adminvote.amxx ; vote commands


; Map related
nextmap.amxx ; displays next map in mapcycle
;mapchooser.amxx ; allows to vote for next map
timeleft.amxx ; displays time left on map


; Configuration
pausecfg.amxx ; allows to pause and unpause some plugins
statscfg.amxx ; allows to manage stats plugins via menu and commands


; Counter-Strike
restmenu.amxx ; restrict weapons menu
statsx.amxx ; stats on death or round end (CSX Module required!)
;miscstats.amxx ; bunch of events announcement for Counter-Strike
;stats_logging.amxx ; weapons stats logging (CSX Module required!)


; Enable to use AMX Mod plugins
;amxmod_compat.amxx ; AMX Mod backwards compatibility layer


; Custom - Add 3rd party plugins here


Hats09.amxx
;jail_zasady.amxx  ;Regulamin JailBreaka.
dodatki_jb.amxx  ;Informacje dot. dnia, za co siedzisz.
jbextreme.amxx  ;Plugin zarzadzajacy calym JailBreakiem, oglasza bunty i wszystkie inne informacje ,wiecej info w pliku czytaj to.
jbextreme_menu.amxx   ;Menu do pluginu jbextreme ktore pomaga go ogarnac ,wiecej info w pliku czytaj to.
block.amxx  ;Plugin blokujacy kupywanie broni.
blockEngineInfo.amxx    ;zabezpiecznie
adminlisten.amxx 
polski_cs.amxx 
ad_manager.amxx         
admin_spec_esp.amxx       
adminchat.amxx   
dontsayips.amxx       
show_ips.amxx   
slots_reservation.amxx
Sh2op.amxx
autobuyfix.amxx
antiflood.amxx
iplogs.amxx
xredirect.amxx
extreme_bancfg2.amxx
adminrl.amxx
noflood.amxx
galileo.amxx
vip.amxx
amx_psaychat.amxx
bronie.amxx debug
hpk.amxx
fix.amxx
rcon_hackfix.amxx
filewatcher.amxx

Sprawdzałem czy plugin nie został nadpisany/edytowany w między czasie i nic takiego nie miało miejsca.

Co do users.ini jest wszystko w porządku.

Co do banowania on robi to jakby z rcona tak to wygląda bynajmniej ale rcona nie ma wyłaczyłem go ;/ tak samo ustawia hasło na serwer lub go po prostu wyłacza.

Zabijaka jeszcze coś tam banajmniej stara się pomóc w wychwyceniu o co tutaj chodzi jednakże pukawka od ponad tygodnia ma totalnie wy*** że tak powiem.

Użytkownik Topkowo edytował ten post 02.09.2013 16:43

[Mastercieni]

A nie możesz sprawdzić logów serwera?

[Ogen Dogen]

Może jednak włącz rcon'a

http://amxx.pl/topic...nie-hasla-rcon/ + silny rcon (małe i duże litery , cyfry , znaki specjalne , min.10 znaków)

np. sA2^3Z&@x!3

 

Uruchom serwer z komendą startową -condebug i przeanalizuj logi po takim ataku.

Przeinstaluj program do FTP i wgraj najnowszą wersję , może masz keyloggera ? Osobiście polecam FileZilla.

 

Na razie tyle mi przychodzi do głowy

[Topkowo]

Zacytuje pare swoich wpisów w 1 poście

"Logów nie ma ma ktoś może jakieś sugestie?"

"jakby z rcona jednakże wgrany plugin wyłaczajacy mozliwosc korzystania z rcona rcon został zabezpieczony a nawet go usunełem całkowicie jednakże to nie pomaga."

 

A wy jak popierdzielone małpy pieprzycie głupoty, a rozumiem zasda, "spamuje i nabijam posty".

 

Co do programu, na pc jest brak wirusów itd. sprawdzane 4 róznymi dobrymi anty-virusami i nie tylko.

Korzystam z fillezili ;].

-condebug myślisz że pokaże się jakiś log po takowym ataku?

Użytkownik Topkowo edytował ten post 07.09.2013 13:29

[freetu]

-condebug myślisz że pokaże się jakiś log po takowym ataku?

no może się coś pojawić, warto spróbować...

 

sprawdź koniecznie czy w amxbansie (po stronie www) nie masz dodanego jakiegoś konta którego być nie powinno. Banować i zmieniać hasło (za pomocą rcona) można także z poziomu www amxbansa, choć jeśli Ty wyłączyłeś rcona to mało jest to prawdopodobne.

[Ogen Dogen]

Sprawdź w katalogu addons/metamod czy nie masz pliku exec.cfg jeśli tak to spróbuj go usunąć.

[Topkowo]

Nic z podanych powodów nie jest problemem ;].

Jakieś inne sugestie macie?

[Vasto_Lorde]

Przeszukaj wszystkie pliki .cfg

Usuń wszystkim admina.

Zbanuj jego IP/SID (masz logi albo amxbans)

[Topkowo]

Pliki cfg czyste.

Po co usuwać admina.

 

Mam logi ciekawe ... czytaj uważnie.

[Scorpion Flail]

W jaki sposób lecą bany? Przez addban czy w inny sposób? Czy po tym zapisują się one w pliku listip.cfg lub innym?

Jeśli jesteś pewien, że na serwerze nie ma hasła rcon (upewnij się na 100% wpisując w consoli dowolne polecenie rcon), to przejrzyj logi amxx pod względem cvarów.

Podaj również jakie flagi przyznajesz swoim adminom oraz czy posiadasz jakieś skrypty [np sklepik], w których umieszczasz dane FTP do swojego serwera.

 

[Topkowo]

Sklep xvaka są dane do ftp ;].

Rcona nie ma a bany leca jakby z rcona nigdzie ich nie zapisuje o estarcie serwera wszystko wraca do normy.

[Scorpion Flail]

Sklep xvaka są dane do ftp ;].

Rcona nie ma a bany leca jakby z rcona nigdzie ich nie zapisuje o estarcie serwera wszystko wraca do normy.

 

 

Tak myślałem, w tym może tkwić problem.

Również korzystam z tego sklepiku i upewniłem się: baza danych nie koduje danych FTP.

Oznacza to, że jeśli komuś udało się zdobyć dane do tej bazy, to ma dane FTP Twoich serwerów jak na tacy.

 

Jak napisałeś w pierwszym poście:

Serwery posiadam na zabijace i pukawce i mam doczynienia z "hackerem".

Serwery są na dwóch oddzielnych hostingach, a ktoś mimo tego bezkarnie się 'zabawia'.

 

 

Moje zalecenie:

 

1. zmień dane do bazy danych, gdzie stoi sklepik

2. zmień dane FTP do serwerów

3. każdy admin, który miał założone hasło+flagi, musi je jak najszybciej zmienić, ponieważ "kid-haker" mógł wcześniej skopiować sobie cały plik users.ini

4. upewnij się, że żadnemu z adminów nie dodałeś flagi "l" oraz "g" [amx_cvar]

 

Po tych czynnościach wszystko powinno ustąpić.

Użytkownik Scorpion Flail edytował ten post 11.09.2013 17:26

[Topkowo]

Pare serwerów nie jest podłaczonych do sklepu a problem ten sam.

Moim zdaniem to nie jego wina. Co do baz danych były zmieniane do wszystkie dosłownie wszystkiego, admini są dodani tylko na sid. takich flag admini nie mają

[Droso]

Może hacker zrobił sobie backdoora, zanim zabezpieczyłeś się przed raiz0, więc podejrzane pluginy OUT, sprawdzić czy też nie masz innych plików plugins-xxxx.ini

z folderu maps w configs usuń wszystkie .cfg 

Sprawdź czy nie została wgrana żaden plugin pod metamoda.

 

Ogólnie sprawdzaj datę modyfikacji, według mnie to albo raiz0, albo gość Ci się włamał na FTP podmienił jakiś plugin i ma backdoora, możliwe, że tego backdoora dawno temu wgrał, tylko odczekał kilka(naście)dni.

Backdoora może ustawiać RCONA na swój i ma całkowity dostęp do serwera.

[Topkowo]

Nawet nowo postawiony serwer ma mieć backdora już pisałem że sprawdzałem pluginy nawet datę modyfikacji i nic.

[Adminek AMXX.PL]

Wiadomość wygenerowana automatycznie

Ten temat został zamknięty przez moderatora.

Powód: Autor tematu zbanowany.

Jeśli się z tym nie zgadzasz, raportuj ten post, a moderator lub administrator rozpatrzy go ponownie.

Z pozdrowieniami,
Zespół AMXX.PL