Skocz do zawartości

  • Zaloguj korzystając z Facebooka Zaloguj korzystając z Twittera Zaloguj przez Steam Zaloguj poprzez Google      Logowanie »   
  • Rejestracja

Witamy w Nieoficjalnym polskim support'cie AMX Mod X

Witamy w Nieoficjalnym polskim support'cie AMX Mod X, jak w większości społeczności internetowych musisz się zarejestrować aby móc odpowiadać lub zakładać nowe tematy, ale nie bój się to jest prosty proces w którym wymagamy minimalnych informacji.

  • Rozpoczynaj nowe tematy i odpowiedaj na inne
  • Zapisz się do tematów i for, aby otrzymywać automatyczne uaktualnienia
  • Dodawaj wydarzenia do kalendarza społecznościowego
  • Stwórz swój własny profil i zdobywaj nowych znajomych
  • Zdobywaj nowe doświadczenia

Dołączona grafika Dołączona grafika

Guest Message by DevFuse
 

Zdjęcie

Naprawa serwera po ruskim haku.


  • Nie możesz napisać tematu
  • Zaloguj się, aby dodać odpowiedź
67 odpowiedzi w tym temacie

#1 Equilibrium

    Wszechwidzący

  • Użytkownik

Reputacja: 54
Pomocny

  • Postów:248
  • Imię:Dawid
  • Lokalizacja:CelaKarna
Offline

Napisano 29.05.2013 20:27

*
Popularny

Postaram się krótko, zwięźle i na temat. Po tym haku tworzy pliki konfiguracyjne w cstrike/addons/amxmodx/configs/maps nazwane nazwą map np. de_dust2.txt, de_nuke.txt. W takim pliku znajduje się komenda, która zatrzymuje działanie pluginu rcon defencer. Zmienia hasło rcon. Edytuje plik motd.txt aby było przekierowanie na jego serwer. Jednak to się ogranicza do map, zależnie od ilość configów. Nadpisuje pliki resource aby gracze wchodzący na serwer mieli w menu serwera, lub co gorsze przy odpalaniu csa od razu im wchodzi. Aby się pozbyć problemu należy:

1. Wejść w cstrike/addons/amxmodx/confgis/maps usunąć pliki lub zawartości niechciane, jeżeli korzystamy z pliku konfiguracyjnego mapy.

2. Usunąć plik motd.txt lub wgrać swój.

3. Usunąć folder resource i wgrać czysty.

4. Ustawić chmod na 744 w pliku motd.txt

5. Sprawdzić czy w cstrike/addons/metamod/plugins.ini nie ma namiaru na aplikacje, która nie została wgrana przez nas. Czyli najczęściej używane np.

linux addons/amxmodx/dlls/amxmodx_mm_i386.so
linux addons/antidlfile/antidlfile_i386.so
linux addons/dproto/dproto_i386.so

6. Polecić graczom usunięcie folderu resource i wgranie czystego. Również usunięcie pliku userconfig.cfg Mam nadzieję, że poradnik się przyda komuś, bo dziś pewna osoba miała z tym problem, a ja z dwa tygodnie temu.


  • +
  • -
  • 21

b_350_20_692108_381007_FFFFFF_000000.png
b_350_20_692108_381007_FFFFFF_000000.png

b_350_20_692108_381007_FFFFFF_000000.png

 


#2 Rodzyn

    Wszechwiedzący

  • Power User

Reputacja: 140
Zaawansowany

  • Postów:560
  • GG:
  • Imię:Dawid
  • Lokalizacja:Bielawa
Offline

Napisano 30.05.2013 17:22

Myślę że na pewno się przyda :)


  • +
  • -
  • 0

#3 SkuBany

    Nowy

  • Pijawka

Reputacja: 0
zer0.

  • Postów:3
  • Imię:Marek
  • Lokalizacja:Warszawa
Offline

Napisano 11.06.2013 07:51

Trzeba obawiać się tego ? :D Bo mam zamiar kupić serwa i nie wiem czy często takie rzeczy się dzieją i mam się bać że na mnie też trafi.


  • +
  • -
  • 0

#4 question?

    Pomocny

  • Użytkownik

Reputacja: 8
Nowy

  • Postów:58
  • Lokalizacja:śląsk
Offline

Napisano 11.06.2013 08:17

Co do wspomnianego problemu należy sprawdzić czy w Metamotd nie ma pliku exec.cfg należy go usunąć, gdyż to on jest główną bazą tego ataku. Zdaża się, że plik ten ma ustawione atrybuty które nie pozwalaja na jego usunięcie z FTP - w tym wypadku piszemy o pomoc do hostingu by usuneli. Zabezpieczenie, które na dzień dzisiejszy prawdopodobnie działa to wgranie nowego engine na ftp.
  • +
  • -
  • 0

#5 BlackDead

    Wszechwidzący

  • Zbanowany

Reputacja: 40
Pomocny

  • Postów:228
  • GG:
  • Steam:steam
  • Imię:Piotr
  • Lokalizacja:Czestochowa
Offline

Napisano 30.06.2013 01:24

Nie wiem czy to przypadek ale na moim western modzie stało się to 2 razy w ciągu miecha a na innych serwerach ani razu.Za 1 razem były jakieś przekierowania na ruskie serwy a dzisiaj po wejściu na mój serwer pobierał się zawirusowany plik cstrike.exe.

Motd ciągle sam się nadpisywał.Ten poradnik znalazłem jak już to naprawiłem samemu.
W moim przypadku wpis nadpisujący plik motd był także w addons/metamod/autoexec.cfg <-- Polecam dodać to do poradnika.

Ps, jak oni to robią że te pliki w folderze configs/maps są czytane jako pliki konfiguracyjne? U mnie one zmieniały hasło rcon oraz plik motd.


Potrzebujemy Adminów i Ekipy na forum.Wejdz i sprawdz czy spełniasz wymagania!
www.cs-staraszkola.pl
•PaintBall+Klasy+Exp:  pb.cs-staraszkola.pl:27030
•Western Mod:  wm.cs-staraszkola.pl:27020
•Base Builder:  bb.cs-staraszkola.pl:27022
Zapraszam na: Cs-Reklamy.pl  oraz System-Wymiany.pl

#6 Fail

    Zaawansowany

  • Zbanowany

Reputacja: -15
Tragedia

  • Postów:134
  • Lokalizacja:z forum
Offline

Napisano 30.06.2013 06:40

Hmm, czyli jak sie przed tym zabezpieczyc? Haslo rcon mialem w komendzie startowej, dodane regulki do banowania za bledne proby a i tak wbili.


Użytkownik Fail edytował ten post 30.06.2013 06:45


#7 Shaxu

    Zaawansowany

  • Użytkownik

Reputacja: 19
Początkujący

  • Postów:82
  • Imię:Adam
  • Lokalizacja:Olsztyn
Offline

Napisano 30.06.2013 11:41

Czy jest inna możliwość włączania / wyłączania pluginów na danej mapie za wyjątkiem sposobu znanego sposobu config/maps ? 

 

Poradnik jak najbardziej przydatny +


  • +
  • -
  • 0

#8 BlackDead

    Wszechwidzący

  • Zbanowany

Reputacja: 40
Pomocny

  • Postów:228
  • GG:
  • Steam:steam
  • Imię:Piotr
  • Lokalizacja:Czestochowa
Offline

Napisano 30.06.2013 14:34

+ oczywiście poleciał,ale mam 1 pytanie.Czy jeśli hasla się wgle nie poda czyli będzie rcon_password "" to rcon będzie działał? Będą mogli znowu się włamać?


Potrzebujemy Adminów i Ekipy na forum.Wejdz i sprawdz czy spełniasz wymagania!
www.cs-staraszkola.pl
•PaintBall+Klasy+Exp:  pb.cs-staraszkola.pl:27030
•Western Mod:  wm.cs-staraszkola.pl:27020
•Base Builder:  bb.cs-staraszkola.pl:27022
Zapraszam na: Cs-Reklamy.pl  oraz System-Wymiany.pl

#9 GwynBleidD

    Godlike

  • Administrator

Reputacja: 1849
Godlike

  • Postów:3066
  • Steam:steam
  • Lokalizacja:Przemyśl
Offline

Napisano 30.06.2013 18:35

rcon_password mogą zmienić tym hackiem. Jedynym sposobem na zabezpieczenie jest blokada możliwości wysyłania tych konkretnych plików na serwer. Sposobów jest wiele, m.in odpowiednie ustawienie chmodów, utworzenie plików (hack nie potrafi podmieniać plików, tylko potrafi utworzyć) i wyłączenie allowupload (wyłączy to również możliwość używania przez graczy własnych sprayów. Każdy będzie miał ten sam).

 

@Shaxu, zabezpieczenie się przed tym hackiem nie uniemożliwia Ci włączania/wyłączania pluginów tą metodą. Możesz jednak również utworzyć plugin, który będzie to ręcznie robił lub modyfikować swoje pluginy tak, aby same się włączały lub wyłączały na określonych mapach.


sebul (01.07.2013 16:21):
http://amxx.pl/topic...-haku/?p=551314
Chciałem praktycznie to samo napisać, ale już zostało to zrobione ;]

  • +
  • -
  • 0
NIE pomagam na PW. Nie trudź się, na zlecenia nie odpiszę... Od pomagania jest forum.
NIE zaglądam w tematy wysłane na PW. Jeśli są na forum to prędzej czy później je przeczytam. Jeśli mam co w nich odpisać, to odpiszę.
 
1988650.png?theme=dark

#10 Shaxu

    Zaawansowany

  • Użytkownik

Reputacja: 19
Początkujący

  • Postów:82
  • Imię:Adam
  • Lokalizacja:Olsztyn
Offline

Napisano 30.06.2013 19:23

Możesz mi podać jakiś kod lub plugin który to umożliwia ? Głównie włączanie i wyłaczanie pluginów.


  • +
  • -
  • 0

#11 Rodzyn

    Wszechwiedzący

  • Power User

Reputacja: 140
Zaawansowany

  • Postów:560
  • GG:
  • Imię:Dawid
  • Lokalizacja:Bielawa
Offline

Napisano 01.07.2013 11:23

Możesz mi podać jakiś kod lub plugin który to umożliwia ? Głównie włączanie i wyłaczanie pluginów.

AmxModMenu :) - 9 potem 6 i tam masz liste włączonych/wyłączonych pluginów (nie wczytuje pluginów wyłączonych przez ";" w plugins.ini) i tam można właśnie wyłączać/włączać :) i potem 8 dla zapisania konfiguracji. 


  • +
  • -
  • 0

#12 Ogen Dogen

    Guru

  • Power User

Reputacja: 222
Profesjonalista

  • Postów:713
  • GG:
  • Steam:steam
  • Imię:Marcin
  • Lokalizacja:Dąbrowa Górnicza
Offline

Napisano 01.07.2013 11:44

Możesz zmodyfikować pluginy żeby sprawdzały na początku nazwę / prefix mapy http://amxx.pl/dokum...111/get-mapname


  • +
  • -
  • 1

b_350_20_360204_C20008_FFFFFF_000000.png 193.33.176.115:27015

 

94e23d811c.png

 


#13 Shaxu

    Zaawansowany

  • Użytkownik

Reputacja: 19
Początkujący

  • Postów:82
  • Imię:Adam
  • Lokalizacja:Olsztyn
Offline

Napisano 01.07.2013 13:02

 

Możesz mi podać jakiś kod lub plugin który to umożliwia ? Głównie włączanie i wyłaczanie pluginów.

AmxModMenu :) - 9 potem 6 i tam masz liste włączonych/wyłączonych pluginów (nie wczytuje pluginów wyłączonych przez ";" w plugins.ini) i tam można właśnie wyłączać/włączać :) i potem 8 dla zapisania konfiguracji. 

 

 

Ręcznie jest nie opłacalne, chyba każdemu zależy aby odpalić moda i wszystko było podane jak na talerzu a nie za każdym razem musi jakiś admin wyłączać pluginy aby lepiej się grało, i napisałem wyraźniej wyłączać ponieważ , są też takie pluginy które są potrzebne do załączenia tego moda a ich nie można wrzucić do normalnej rozgrywki ze względu że będą psuły grę? Tak więc jak chcesz załączyć przez amxmodmenu nowe pluginy do modzika ?


  • +
  • -
  • 0

#14 Scorpion Flail

    Wszechobecny

  • Zbanowany

Reputacja: 122
Zaawansowany

  • Postów:469
  • GG:
  • Imię:Krystian
  • Lokalizacja:Grudziądz
Offline

Napisano 01.07.2013 15:40

Jest jeszcze prostszy sposób: skoro wiemy jakie pliki tworzy / edytuje ten exploit to wystarczy:

 

na plik modt.txt nadać CHMOD 444 [tylko do odczytu]

Utworzyć nowy plik w: addons / metamod / exec.cfg i to samo: CHMOD 444

Utworzyć nowy plik w: addons / metamod / autoexec.cfg i CHMOD 444

Utworzyć folder w: addons / amxmodx / configs / maps i CHMOD 444 (jeśli już ktoś ma ten folder a w nim konfiguracje na danych mapach to też może nadać CHMOD)

 

 



#15 Fail

    Zaawansowany

  • Zbanowany

Reputacja: -15
Tragedia

  • Postów:134
  • Lokalizacja:z forum
Offline

Napisano 01.07.2013 15:48

te rozwiązanie jest to wyleczenie sie po hacku, a nie jego zabezpieczenie. Heh przecież znając twoje hasło rcon mogą ci cały serwer wybanować a nawet zmienić hostname na taki np. bez nazwy nazwy hostingu, co spowoduje ze hosting zawiesi i usunie twój serwer. Oni mogą tworzyć inne pliki niż tylko te których nazwy ty znasz.

 

Chyba logiczną sprawa jest ze wazniejsza jest profilaktyka i trzeba sie zabezpieczyć w 100% zeby nie wykradli hasla rcon zamiast sie zabezpieczac przed skutkami tuż po wykradnieciu??


Użytkownik Fail edytował ten post 01.07.2013 15:48


#16 GwynBleidD

    Godlike

  • Administrator

Reputacja: 1849
Godlike

  • Postów:3066
  • Steam:steam
  • Lokalizacja:Przemyśl
Offline

Napisano 02.07.2013 19:59

Fail, chyba nie wiesz do końca jak działa i do czego służy owy hack. Umożliwia on wgranie DOWOLNEGO pliku na serwer w DOWOLNE miejsce, bez znajomości hasła RCON.

 

Wgranie pliku NIC nie da, jeśli nie będzie on wgrany w specyficzne miejsce lub nie będzie miał odpowiedniej nazwy. Zabezpieczenie miejsc w których wgrane pliki mogą coś zrobić, lub stworzenie takich plików (wystarczą puste, bez CHMODów) gwarantuje bezpieczeństwo, gdyż miejsca już nie zostanie gdzie plik mógłby zaszkodzić.

 

Wgranie pliku może już posłużyć do wielu czynności: zmiana lub odczytanie hasła RCON, uruchomienie własnych pluginów, zmiana DOWOLNEJ rzeczy w konfiguracji serwera itp...


  • +
  • -
  • 0
NIE pomagam na PW. Nie trudź się, na zlecenia nie odpiszę... Od pomagania jest forum.
NIE zaglądam w tematy wysłane na PW. Jeśli są na forum to prędzej czy później je przeczytam. Jeśli mam co w nich odpisać, to odpiszę.
 
1988650.png?theme=dark

#17 ksekowny

    Nowy

  • Użytkownik

Reputacja: 3
Nowy

  • Postów:6
  • Imię:Mateusz
  • Lokalizacja:Krk
Offline

Napisano 20.07.2013 09:26

Przed czymkolwiek najlepiej przeglądnąć src pluginu którego się używa, żeby zabezpieczyć się bez takimi rzeczami.


  • +
  • -
  • 0

#18 Fail

    Zaawansowany

  • Zbanowany

Reputacja: -15
Tragedia

  • Postów:134
  • Lokalizacja:z forum
Offline

Napisano 01.08.2013 12:34

1. Ehh dzisiaj również mi to wgrali do folderu configs plik pluginsjakis.ini i z niego czytalo nowe pluginy jak to mozliwe? jak zrobic aby pluginy byly czytane tylko z plugins.ini? bo np jak jest atac to jest folder plugins-atac.amxx i z niego rowniez czyta pluginy a jak zrobic aby nie bylo takiej mozliwosci? :> ze tylko plugins.ini odpowiada za czytanie pluginów? moglby ktos mi napisac taki plugin lub powiedziec jak to zrobic? Bo jezeli to by sie udalo poprawic to skoro nie moga edytowac istniejacych juz plikow to niebyloby mozliwosci zrobienia jakiegokolwiek uzytku z wgranych przez nich plikow.

 

2. pytanie. gdy ustawie to na 0 (wylacze):

sv_allowupload "1" //Pozwolenie na upload np: loga

 

to jakie to niesie za soba konsekwencje? Co straca gracze? Beda mogli pobierac mapy itp? wtedy ten hack powinien w 100% przestac dzialac jezeli dobrze rozumiem.

 

3. tak odbiegajac od tematu lecz nadal z nim zwiazana sprawa wgrali mi 3 pluginy:

steamupdate.amxx
BugFix.amxx
x-hlds.amxx

czy jest jakis sposob ich dekompilacji abym mogl podejrzec zawartosc?:P kiedys widzialem dekompilator online kyku czy jakos tak lecz juz nie dziala a chcialbym sprawdzic ich zawartosc, lecz jestem pewny ze kazdy odpowiada za jakies przekierowanie, lecz chce sprawdzic czy nie wyrzadzil dodatkowych szkód

 

 

 

 

 

 


Użytkownik Fail edytował ten post 01.08.2013 12:37


#19 Scorpion Flail

    Wszechobecny

  • Zbanowany

Reputacja: 122
Zaawansowany

  • Postów:469
  • GG:
  • Imię:Krystian
  • Lokalizacja:Grudziądz
Offline

Napisano 01.08.2013 21:41

Ten atak wykorzystuje lukę w binarkach. Jeśli chcesz się przed nim uchronić to pobierz i podmień:

 

Załączony plik  upfilefix.zip   381,92 KB  85 Ilość pobrań
    [do 5787]

 

Ja go mam od ostatniego ataku i od tamtej pory 0 problemów. A te twoje fixy możesz wywalić.



#20 Fail

    Zaawansowany

  • Zbanowany

Reputacja: -15
Tragedia

  • Postów:134
  • Lokalizacja:z forum
Offline

Napisano 02.08.2013 12:51

@up

czytaj ze zrozumieniem, w ktorym miejscu napisałem że to moje fixy? Przeczytaj co napisałem i dopiero daj odpowiedź - to nie są fixy tylko pluginy które wgrał mi ten "ruski hack".

 

posiadam taki sam engine_i686 o identycznym rozmiarze także to na pewno nie zabezpiecza cie przed hackiem tylko poprostu nikt nie chce sie wlamac na twój serwer - mozliwe ze jest zbyt malo popularny.






Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych