Forum
Użytkownicy
Kalendarz
Dodatki SourceMod
Witam,
zaczelo sie od tego, ze wczoraj ktos zmienil moje okienko motd na link do wirusa
o nazwie cstrike.exe
Dzis wszedl na serwer typek o nicku ADMIN OWNER i zaczol zminiac cvary
zmienil hostname na swoj link do profilu http://www.cshacked.pl/user/4338-owner/
(proszę nie usuwac to bardzo wazne) i zablokowal serwer nadajac mu haslo... zarejstrowal sie na forum ale zdazylem od razu dac bana i zablokowac IP. Co jest bardzo interesujaca typ dostal bana na serwerze od mojego admina, na jego IP ale na MOJ STEAM ID.
Ostatnim razem jak ktos sie wlamal na mojego steama wyskoczylo mi ze ktos sie zalogowal i mialem
sie zalogowac 2 raz teraz nie bylo tego, co wiecej wszystkim co wszli na serwer dodal sie wirus do plikow steam'a (.dll). Po wpisaniu w przegladarce adresu tego wirusa wyskoczyly mi ze 2 linki
do innej dosc znanej strony o tematyce counter strike co mieli taki sam problem, bylo tam jedynie napisane o usunieciu okienka motd i ostrzezenie : apel do wszystkich! jezeli podczas wchodzenia na serwer, cs Ci sie zminimalizuje i pojawi sie informacja o pobraniu pliku (cstrike.exe) z anic tego nie pobieraj! Jest to nowy wirus typu Ransomware ktorywymusza okup w nietypowy sposob.
Po usunieciu z okienka motd linku on caly czas wraca....
Co wy na to ?
Witamy w Nieoficjalnym polskim support'cie AMX Mod X
Witamy w Nieoficjalnym polskim support'cie AMX Mod X, jak w większości społeczności internetowych musisz się zarejestrować aby móc odpowiadać lub zakładać nowe tematy, ale nie bój się to jest prosty proces w którym wymagamy minimalnych informacji.
|
Guest Message by DevFuse
hakerzy - wlamanie na serwer
Temat rozp.
MrSpiryt
, 06.08.2012 17:47
-
Temat jest zamknięty
19 odpowiedzi w tym temacie
#2
-
- Użytkownik
Wszechpomocny
Reputacja: 125
Zaawansowany
- Postów:315
-
Steam:
- Imię:Przemysław
- Lokalizacja:Kielce
Napisano 06.08.2012 17:52
Wyłącz serwer jak najszybciej (i zablokuj). Odinstaluj steama, przeskanuj komputer, zmień passy na steama i maila. Zainstaluj spowrotem.
http://www.tralalala.../post31437.html
http://www.tralalala.../post31437.html
- 1
#3
- Autor tematu
-
- Zbanowany
Banned
Reputacja: 14
Początkujący
Napisano 06.08.2012 17:53
bylbym zapomnial. Jak pisalem z typem na gg co chce, napisal ze zlecil mu to DARKGL z amxx
pytal czy go znam, pow ze tak i napisal ze mam mu od niego przekazac : "learn to code"
pytal czy go znam, pow ze tak i napisal ze mam mu od niego przekazac : "learn to code"
ZabijamBoLubie.PL
#4
-
- Administrator
Nie oddam ciasteczka !
Reputacja: 6 555
Godlike
- Postów:11 980
-
GG:
-
Steam:
- Imię:Rafał
- Lokalizacja:Warszawa
Napisano 06.08.2012 18:57
nie mam z tym nic wspólnegoze zlecil mu to DARKGL z amxx
zresztą po co miałbym zlecać komuś napisanie czegoś jeśli sam jestem programistą :F
- 0
#5
-
- Przyjaciel
Godlike
Reputacja: 2 035
Godlike
- Postów:5 411
-
Steam:
- Imię:Sebastian
- Lokalizacja:Ostrołęka
Napisano 06.08.2012 20:48
Powiem tyle, że dzisiaj miałem dokładnie to samo ^ ^ nic nie zostało "haknięte" (a przynajmniej nie widać żadnych śladów włamania na steam czy mail), tylko po prostu ktoś wbił po kolei na 2 serwery (albo i więcej, nie wiem bo akurat nie było mnie w tym momencie) mając mój sid i robił co chciał, bo mając wszystkie flagi nie ma praktycznie żadnych ograniczeń. Czyżby kolejny bug? Dark pisał, że może bug dproto, ale to tylko domysły. Zapomniałem tylko dodać, że nic o pobieraniu pliku cstrike.exe na serwerze nie słyszałem.
- 0
Posiadam TBM (inaczej PTB), które działa dużo lepiej niż zwykłe PTB, nawet na modach z lvlami. Zainteresowany? Proszę bardzo
#6
-
- Użytkownik
Wszechwidzący
Reputacja: 28
Życzliwy
Napisano 06.08.2012 23:28
No dobra więc tak, u mnie sytuacja podobna podszyto się pod mojego steam_id, przez co uzyskano moje uprawnienia h@. Efektem tego było zmiana cvarów serwera, wyłączenie amxx'a, zmiana nazwy serwera na informującą o zmianie adresu ip i podano adres ip tego serwera CSHacked.PL [DR+XP MOD][Kolejka TT][AutoBH]@mojeserwery.pl [cs] Counter Strike 1.6
Ogólnie cały "atak" wygląda następująco:
1. Zdobycie steam_id head admina
2. Wykorzystując lukę na serwerze zmiana swojego steam_id na steam_id H@
3. Wykorzystanie zdobytych uprawnień w celu poczynienia szkód na serwerze.
Adres ip z którego ktoś się łączył z serwerem: 83.7.142.191.
Dodatkowo ustaliłem steam_id lecz jest on fałszywy - zupełnie tak jakby dproto ustawiało steam_id z adresu ip gracza, przy czym u mnie jest to wyłączone i ustawia standardowo STEAM_ID_LAN.
Edit1.
@Sebul - moim zdaniem h@ tego serwera znalazł w necie jakiś program "hakerski" i próbuje w ten sposób rozreklamować swój serwer bo jest tak beznadziejny (on i serwer) że inaczej się nie da.
Edit2.
PS.
Zapomniałem dodać że nie ma potrzeby odinstalowywania steam'a i skanowania komputera bo jeśli ktoś by wam ukradł konto nie moglibyście się zalogować więc bez obaw, po prostu ktoś wykorzystuję lukę która umożliwia mu ustawianie dowolnego steam_id.
Ogólnie cały "atak" wygląda następująco:
1. Zdobycie steam_id head admina
2. Wykorzystując lukę na serwerze zmiana swojego steam_id na steam_id H@
3. Wykorzystanie zdobytych uprawnień w celu poczynienia szkód na serwerze.
Adres ip z którego ktoś się łączył z serwerem: 83.7.142.191.
Dodatkowo ustaliłem steam_id lecz jest on fałszywy - zupełnie tak jakby dproto ustawiało steam_id z adresu ip gracza, przy czym u mnie jest to wyłączone i ustawia standardowo STEAM_ID_LAN.
Edit1.
@Sebul - moim zdaniem h@ tego serwera znalazł w necie jakiś program "hakerski" i próbuje w ten sposób rozreklamować swój serwer bo jest tak beznadziejny (on i serwer) że inaczej się nie da.
Edit2.
PS.
Zapomniałem dodać że nie ma potrzeby odinstalowywania steam'a i skanowania komputera bo jeśli ktoś by wam ukradł konto nie moglibyście się zalogować więc bez obaw, po prostu ktoś wykorzystuję lukę która umożliwia mu ustawianie dowolnego steam_id.
Użytkownik diggs edytował ten post 06.08.2012 23:28
- 0
cFun.pl BaseBuilderPro v6.5.8 Tirant edit by diggs
IP: 80.82.16.66:27034
cFun.pl Only AWP - 1000 FPS [SkinsMod]
IP: 80.72.42.113:27015
#7
-
- Przyjaciel
Master
Reputacja: 1 162
Super Hero
- Postów:965
-
GG:
-
Steam:
- Lokalizacja:polska
Napisano 06.08.2012 23:33
Wystarczy zmienić ustawienia dproto żeby revEmu był czytany jako nonsteam
- 0
#9
-
- Przyjaciel
Guru
Reputacja: 228
Wszechwidzący
Napisano 07.08.2012 00:03
A więc wypowiem się coś na ten temat, gdyż to jest 'ponoć' z naszej sieci.
Tak więc, sprawa wygląda następująco. Ani HeadAdmin tego serwera, ani nikt żaden inny z Administratorów serwerów tego nie robią.
Jest to sprawka któregoś z userów, nie jest pewne, naszej sieci czy wrogiej ( niestety nie powiem nazwy ). Wiem w czym polega problem.
Chłopak znalazł jakąś dziurę w zabezpieczeniu dproto dzięki czemu może za pomocą IP mieć steam_id jakiej kolwiek osoby. Tyle udało mi sie ustalić,
a jak to robi nie mam zielonego pojęcia.
Gdybym dowiedział się coś w tej sprawie nie zwłocznie was powiadomię.
Pozdrawiam
Muzzi
@Edit Macie moje słowo, że ŻADEN z Administracji SERWERA (głównej) nie robił czegoś takiego.
Tak więc, sprawa wygląda następująco. Ani HeadAdmin tego serwera, ani nikt żaden inny z Administratorów serwerów tego nie robią.
Jest to sprawka któregoś z userów, nie jest pewne, naszej sieci czy wrogiej ( niestety nie powiem nazwy ). Wiem w czym polega problem.
Chłopak znalazł jakąś dziurę w zabezpieczeniu dproto dzięki czemu może za pomocą IP mieć steam_id jakiej kolwiek osoby. Tyle udało mi sie ustalić,
a jak to robi nie mam zielonego pojęcia.
Gdybym dowiedział się coś w tej sprawie nie zwłocznie was powiadomię.
Pozdrawiam
Muzzi
@Edit Macie moje słowo, że ŻADEN z Administracji SERWERA (głównej) nie robił czegoś takiego.
- 0
#10
-
- Moderator
/dev/null
Reputacja: 1 678
Godlike
- Postów:2 496
-
GG:
-
Steam:
- Imię:Michał
- Lokalizacja:Halemba
Napisano 07.08.2012 00:22
na ruski forum widzialem bodajze taki expolit 
odpaleś go, podawałeś steamid jakie chcesz miec, po czym klikaleś launcz, po chwili gdy wbijałeś na serwer miałeś jakimś cudem zemulowane steamid które podałeś , na ktorym to dokładnie nie pamiętam bym musiał znowu poszperać a zabezpieczenie na to jest łatwe u mnie kazdy admin ma tak iż jak ma neo to ip z ktorego laczy sie dane steamid musi byc z jego regionu, jak ma stałe to musi sie zgadzać
odpaleś go, podawałeś steamid jakie chcesz miec, po czym klikaleś launcz, po chwili gdy wbijałeś na serwer miałeś jakimś cudem zemulowane steamid które podałeś , na ktorym to dokładnie nie pamiętam bym musiał znowu poszperać a zabezpieczenie na to jest łatwe u mnie kazdy admin ma tak iż jak ma neo to ip z ktorego laczy sie dane steamid musi byc z jego regionu, jak ma stałe to musi sie zgadzać
- 0
#11
Gość_21977_*
-
- Gość
Reputacja: 0
Napisano 07.08.2012 00:29
Sprawdź, czy jesteś podatny na atak UDP
4500 0021 788f 0000 f711 f4b6 4df7 46dbjeśli tak, to zastosuj iptables rule
c0a8 010b c360 698e 000d 265f ffff ffff
56
4500 0594 0000 4000 4011 ded3 c0a8 010b
4df7 46db 698e c360 0580 3d16 feff ffff
6a37 2c00 02ff ffff ff45 6000 5f74 7574
4500 01ab 0000 4000 4011 e2bc c0a8 010b
4df7 46db 698e c360 0197 0346 feff ffff
6a37 2c00 1276 5f61 6c6c 6f77 7570 6c6f
-А INPUT -p udp -m udp -m string --hex-string "|FFFFFFFF56|" --algo kmp -j DROP
sebul (07.08.2012 00:50):
U mnie dproto jest najnowsze, czyli 0.9.87.
Ogólnie mam rozumieć, że te polecenia dać do supportu? Bo raczej ja tego nigdzie nie dodam
U mnie dproto jest najnowsze, czyli 0.9.87.
Ogólnie mam rozumieć, że te polecenia dać do supportu? Bo raczej ja tego nigdzie nie dodam
Użytkownik benio101 edytował ten post 07.08.2012 00:31
Literówka w treści postu, nie w kodzie
#12
-
- Zbanowany
Banned
Reputacja: 50
Pomocny
Napisano 07.08.2012 00:41
Trzeba sprawę zgłosić na policję, a nie się ratować exploitami.. tym bardziej, że robi to 1 osoba.
#13
-
- Przyjaciel
Godlike
Reputacja: 2 035
Godlike
- Postów:5 411
-
Steam:
- Imię:Sebastian
- Lokalizacja:Ostrołęka
Napisano 07.08.2012 00:45
A oto jego sid - STEAM_0:0:40785362 -> http://steamcommunit...561198041836452
- 0
Posiadam TBM (inaczej PTB), które działa dużo lepiej niż zwykłe PTB, nawet na modach z lvlami. Zainteresowany? Proszę bardzo
#14
-
- Zbanowany
Banned
Reputacja: 50
Pomocny
Napisano 07.08.2012 01:13
"U mnie dproto jest najnowsze, czyli 0.9.87." - to nie jest najnowsze dproto, bo wyszło nowsze.
#15
-
- Przyjaciel
Godlike
Reputacja: 2 035
Godlike
- Postów:5 411
-
Steam:
- Imię:Sebastian
- Lokalizacja:Ostrołęka
Napisano 07.08.2012 01:17
Nie słyszałem o jakimś oficjalnym wydaniu, jedynie słyszałem, że dproto nie będzie już rozwijane (czyżby chodziło tylko o informowanie o aktualizacjach dproto na forum amxx.pl?), stąd też wydaje mi się, że 0.9.87 to najnowsza wersja.
- 0
Posiadam TBM (inaczej PTB), które działa dużo lepiej niż zwykłe PTB, nawet na modach z lvlami. Zainteresowany? Proszę bardzo
#16
Gość_21977_*
-
- Gość
Reputacja: 0
Napisano 07.08.2012 01:18
Jesteś 92 wersje do tyłuU mnie dproto jest najnowsze, czyli 0.9.87.
0.9.179: - fixed "STEAM userid keysize is bogus" error on SteamEmu clients 0.9.178: - fixed "Invalid challenge format" warning when client joins server 0.9.87-0.9.177: - Some bugs fixed (I don't remember what bugs ) - Removed subserver and master-client as they are not needed now - Added challenge checking code to "rules" and "players list" requests handlersTutaj najnowsza wersja: http://cs.rin.ru/for...hp?t=55986&f=29
A ten kod to poprzez zapytanie UDP wyślij i sprawdź, czy serwer jest podatny, a sądząc po posiadaniu przestarzałej wersji, sądzę, że tak.
sebul (07.08.2012 01:25):
A i to jeszcze w dodatku 0.9.87 istnieje jako "Previous stable:" czyli chyba dlatego tak cicho w sprawie nowszych wersji
A i to jeszcze w dodatku 0.9.87 istnieje jako "Previous stable:" czyli chyba dlatego tak cicho w sprawie nowszych wersji
(07.08.2012 02:01):
Niestety, nie zagłębiałem się za bardzo, kiedy kolejne wersje były wydawane, ale na zalinkowanym forum jest dużo przydatnych informacji, może uda się odnaleźć przynajmniej daty kolejnych publicznych wydań dProto po postach typu "thanks, bro" czy "U a3E @v50M3:D:D ".
Niestety, nie zagłębiałem się za bardzo, kiedy kolejne wersje były wydawane, ale na zalinkowanym forum jest dużo przydatnych informacji, może uda się odnaleźć przynajmniej daty kolejnych publicznych wydań dProto po postach typu "thanks, bro" czy "U a3E @v50M3
:D:D ".
#17
-
- Zbanowany
Banned
Reputacja: 50
Pomocny
Napisano 07.08.2012 11:49
Na razie dproto sprawuje się dobrze, nie zauważyłem jakichś błędów, crashów itd.
A co do daty wydania, to bodajże 5.08.
A co do daty wydania, to bodajże 5.08.
#19
-
- Przyjaciel
Profesjonalista
Reputacja: 78
Zaawansowany
- Postów:153
-
Steam:
- Imię:Arkadiusz
- Lokalizacja:Norwegia
Napisano 19.01.2013 09:10
Witam,przed wczoraj spotkalo to moja siec a wczesniej kilka godzin inna rownierz znana siec,chlopak sie bawi przez dproto i sid admina.
Nastepnie aby udowodnic ze moze kazda siec shakowac to zmienil wczoraj na chwile nazwe serwera i zapodal tam haslo ktory ma najlepszy rank w polsce(chyba 14 w GT).
Wlamal sie rownierz na sklepik od Xvaka,powiedzial ze ma takze dziury,ale jego serwerow nie ruszy bo to stary znajomy z jego forum(nazwa juz byla podana wyzej)
Jestesmy bez radni,serwery ustawilismy only steam aby temu zapobiec ale wiadomo ze traci sie graczy bo wiekszosc gra ns.
Pozdrowienia dla OWNER czy tam banek,takimi nickami poslugiwal sie u nas.
Nastepnie aby udowodnic ze moze kazda siec shakowac to zmienil wczoraj na chwile nazwe serwera i zapodal tam haslo ktory ma najlepszy rank w polsce(chyba 14 w GT).
Wlamal sie rownierz na sklepik od Xvaka,powiedzial ze ma takze dziury,ale jego serwerow nie ruszy bo to stary znajomy z jego forum(nazwa juz byla podana wyzej)
Jestesmy bez radni,serwery ustawilismy only steam aby temu zapobiec ale wiadomo ze traci sie graczy bo wiekszosc gra ns.
Pozdrowienia dla OWNER czy tam banek,takimi nickami poslugiwal sie u nas.
- 1
#20
-
- Power User
Wszechwiedzący
Reputacja: 146
Zaawansowany
- Postów:569
-
GG:
- Imię:Dawid
- Lokalizacja:Bielawa
Napisano 19.01.2013 09:56
Witam,przed wczoraj spotkalo to moja siec a wczesniej kilka godzin inna rownierz znana siec,chlopak sie bawi przez dproto i sid admina.
Nastepnie aby udowodnic ze moze kazda siec shakowac to zmienil wczoraj na chwile nazwe serwera i zapodal tam haslo ktory ma najlepszy rank w polsce(chyba 14 w GT).
Wlamal sie rownierz na sklepik od Xvaka,powiedzial ze ma takze dziury,ale jego serwerow nie ruszy bo to stary znajomy z jego forum(nazwa juz byla podana wyzej)
Jestesmy bez radni,serwery ustawilismy only steam aby temu zapobiec ale wiadomo ze traci sie graczy bo wiekszosc gra ns.
Pozdrowienia dla OWNER czy tam banek,takimi nickami poslugiwal sie u nas.
1. Łopata półroku
2. Daje zakład że wkrótce "karma" do niego wróci. Tylko kwestia czasu niż zaatakuje sieć serwerów która da mu opór..
3. Jeżeli już znamy jego ip i sid to teraz musimy się ogarnąć i zrobić plugin który nie przepuszczał by jego ip na serwer. No chyba że ma zmienne to wtedy neobans..
- 0
Użytkownicy przeglądający ten temat: 0
0 użytkowników, 0 gości, 0 anonimowych
