67 odpowiedzi w tym temacie

[Fail]

@refresh

czy jest jakas skuteczna metoda zalatania tej dziury w hlds? no i zeby ustawic zeby pluginy byly czytane z plugins.ini tylko i wylacznie a nie z zadnych innych plugins-amx.ini i tym podobnych.

[Scorpion Flail]

czytaj ze zrozumieniem, w ktorym miejscu napisałem że to moje fixy? Przeczytaj co napisałem i dopiero daj odpowiedź - to nie są fixy tylko pluginy które wgrał mi ten "ruski hack".

 

posiadam taki sam engine_i686 o identycznym rozmiarze także to na pewno nie zabezpiecza cie przed hackiem tylko poprostu nikt nie chce sie wlamac na twój serwer - mozliwe ze jest zbyt malo popularny.

 

Nazwałem to fixami, ponieważ tak nazwane są te pluginy.

 

Dekompilator nie pokaze ci kodu pluginu, moze jedynie wszystkie zarejestrowane funkcje typu register xxx.

 

A i chyba nie sądzisz, że serwer 24-slotowy, będący przed 2x hackami na 500 miejscu w GT nie jest popularny [bez żadnych reklam wiaderko/masterboost].

 

Co do samego tematu.

 

Te zmienione binarki chronią przed tym błędem, ponieważ "łatają" dziurę związaną z "sendfile" podczas zmiany mapy serwerze.

 

Jeśli po tym nadal masz problemy, tzn że pozostawili Ci jakieś "gow*o, dzięki któremu otwierają sobie backdoora i bez problemu nadal robią z Twoim serwerem co tylko chcą.

Posprawdzaj daty utworzenia/modyfikacji poszczegolnych plikow w FTP i wszystko co podejrzane usun/podmien.

 

I dostosuj się do tego:

 

na plik modt.txt nadać CHMOD 444 [tylko do odczytu]

Utworzyć nowy plik w: addons / metamod / exec.cfg i to samo: CHMOD 444

Utworzyć nowy plik w: addons / metamod / autoexec.cfg i CHMOD 444

Utworzyć folder w: addons / amxmodx / configs / maps i CHMOD 444 (jeśli już ktoś ma ten folder a w nim konfiguracje na danych mapach to też może nadać CHMOD)

 

 

GwynBleidD   już ci mniej więcej wyjaśnił na czym to polega.

 

Jeśli wiesz, że tworzą u Ciebie plik, np "plugins-amx.ini" to go wyczyść i nadaj mu w/w chmody

 

Użytkownik Scorpion Flail edytował ten post 03.08.2013 12:27

[Fail]

nie zostawili zadnego backdoora zrobiłem reinstall i gdy nadam chmody na plugins-amx.ini to stworza plugins-amxx.ini i dalej robia co chca

[Scorpion Flail]

W takim razie skonfiguruj sobie wszystko, upewnij się, że w żadnym folderze nie dodali/nadpisali plików i na cały folder configs oraz jego zawartość nadaj chmody 444

 

Chociaż jeszcze raz się upewnij, że nigdzie nie masz napisanego/stworzonego niechcianego pliku [nie zapomnij o folderze metamod]

Zakładam oczywiście, że posiadasz najnowsze dproto

[mastah7991]

Scorpion mam pytanie skąd masz tego fixa ?

bo nigdzie nie mogę tego znaleźć na innych forach / portalach / stronach itd 

[Fail]

sprawdzałem wszędzie lecz gdy nadam chmod 444 na folder configs przestaje dzialac amx

 

Ps. Skad ty masz tego fixa? (faktycznie liczba bitów nieznacznie rózni sie od pliku wgranego na moim serwerze). Gdzie pewnosc ze to dziala  ?

 

@edit

chyba juz znalazłem:

 

http://cssetti.pl/ne...3-06-2013-fixy/

 

 

Exploit dzięki któremu atakujący może nadpisać/dodać własny cfg (13.12.2012) !!!!!!
Konsekwencje: Atakujący przejmuje kontrole nad serwerem, może wyłączyć pluginy, zmienić hasło rcon, okienko motd… – robi co chce
Rozwiązanie: Zainstalować plugin na module Orpheu: file_watcher

Rozwiązanie 2: Wgrać naprawioną binarke:

upfilefix (linux server)

upfile_fix-win32 (windows server)

 

Zalecane jest wgrać i plugin i binarke!

 

Uwaga: Jeżeli zostałeś już zarażony, usuń dodatkowe pliki *.cfg z addons/metamod/exec.cfg i amxmodx/configs/maps / *.cfg

Sprawdź również zawartość pliku motd.txt i motd.html w katalogu głównym serwera, jeżeli jest niezgodny z tym co miałeś, podmienić go jak najszybciej, np standardowym: motd

 

Użytkownik Fail edytował ten post 03.08.2013 20:24

[Fail]

@edit Wazny

Niestety z przykroscia stwierdzam ze sama binarke mialem wgrana i mimo tego wyslali mi pliki na serwer i dodali wlasne pluginy (wlamali sie), teraz usunelem ich pluginy i dodalem plugin na bazie orpheu zobaczymy co z tego bedzie ;] dam info czy to w ogole dziala

Użytkownik Fail edytował ten post 04.08.2013 16:50

[Scorpion Flail]

Ja po raz kolejny powtarzam, że binarka to blokuje, jeśli wywalisz wszystko czym Cię zainfekowali.

 

Zapomniałem wspomnieć: utwórz w folderze metamod puste pliki cfg:

 

exec.cfg

exec1.cfg

exec2.cfg

exec3.cfg

 

I nadaj im wszystkim chmody 444, ponieważ to do nich są wysyłane polecenia o wykorzystaniu pliku z pluginami.

 

Sprawdź również rozmiar samego pliku metamoda: wersja 19-p32 powinna mieć rozmiar: 168 545

 

oraz 

 

czy w pliku metamod>plugins.ini nie ma jakiś dziwnych, zbędnych linijek.

 

+czy podczas ataku tworzy się jakiś error w logach amxx'a

[ka.linux]

HLDS jest i zawsze będzie podatny na ataki . Jeśli powtórzy ci się sytuacja, będę zmuszony podać ci gotową paczkę wszystkich fixów które są do tej pory udostępnione po całym ruskim internecie  .

[Tali]

ja zmienilem ftp ,rcon i reinstall zrobilem i juz Dziala  

[Scorpion Flail]

ja zmienilem ftp ,rcon i reinstall zrobilem i juz Dziala

 

To mu nic nie da bo przy nadpisywaniu plików rcon im nie potrzebne

[Fail]

@up

Bardzo mądra odpowiedź.

 

@topic

Nic mi nie da tworzenie tych plikow exec.cfg jak ja zrobie taki i nadam chmody to oni wrzuca plik o nazwie d*pa.cfg i tak bedzie im dzialac, gdy w configs tworza plugins-amx.ini to co mi po tym jak ja ten plik zabezpiecze jak oni stworza plugins-d*pa.ini i tak bedzie im dzialac musialbym potworzyc pliki o wszystkich mozliwych nazwach na swiecie aby oni takiej nazwy juz nie zrobili.

 

Wgralem na chwile obecna plugin o nazwie file_watcher bazujacy na module orpheu i sprawdzimy czy on dziala. Bo te wasze wszystkie odpowiedzi i nadawanie chmodow na plik motd.txt mija sie z celem gdy oni moga wrzucic wlasny plik do dodawania pluginów i wlasny plugin na serwer.

[Tali]

ja mialem calkowicie wylaczony przez to serwer . I juz zadnych problemow nie ma

[Droso]

Nie wiem czy łatka od podmiany engine działa, ale na razie testuje.

 

+ padłem ofiarą takiego ataku bez plików .cfg tylko uploadowali plugins-xxx.ini oraz .amxx

Więcej nie widziałem bo folder metamod był czysty, a na folder maps miałem chmody 444.

 

 

[Fail]

@up

No własnie o tym samym pisałem przecież co mi da nadawanie chmodow na pliki cfg jak pisał autor tematu który kompletnie nie ma pojecia jak dziala ten hack i ze moze tworzyc dowolne nazwy to co da ze zabezpiecze te konkretne nazwy jak stworzy pliki cfg o innych nazwach. A o tym ze wrzuca plugins-xxx.ini i wlasny plugin amxx kompletnie nie wspomniano w tym temacie i tutaj na pewno nadanie chmodow nic nie da.

 

Podmiana engine ci nic nie da - sam podmienilem i mimo to wrzucili plugins-xxx.ini oraz wlasny plugin. Teraz wgrałem moduł orpheu i plugin file_watcher i zobacze jak rozwinie sie sytuacja.

 

@a do całej reszty

Użytkownik Fail edytował ten post 05.08.2013 18:42

[GuRu]

hmm ... ja mam ten file costam  i ch*ja dalo...

[Tali]

ja juz pisalem zmiana rcon hasla ftp i reinstall serwera

[ka.linux]

GuRu, posiadając tylko file_watcher mało ci da, takie przybliżenie do waszego problemu

[Droso]

A więc od 5 dni na mój serwer nie został wgrany żaden plik.

Więc łatka engine_i686 wydaję się działać, ale pojawił się u mnie nowy problem serwer wyłącza się bez crasha, ale nie wiem czy od tej łatki.

Może ktoś powiedzieć, czy też ma crashe po zainstalowaniu łatki?

[(Kalifta)]

Niech zgadnę. Gostek wbija po czym następuje crasz bez powodu?? U mnie było to samo, i była to wina binarki, i paru dziur w systemie, ale ja tego nie robiłem także nie wiem jak to naprawić...