Skocz do zawartości

  • Zaloguj korzystając z Facebooka Zaloguj korzystając z Twittera Zaloguj przez Steam Zaloguj poprzez Google      Logowanie »   
  • Rejestracja

Witamy w Nieoficjalnym polskim support'cie AMX Mod X

Witamy w Nieoficjalnym polskim support'cie AMX Mod X, jak w większości społeczności internetowych musisz się zarejestrować aby móc odpowiadać lub zakładać nowe tematy, ale nie bój się to jest prosty proces w którym wymagamy minimalnych informacji.

  • Rozpoczynaj nowe tematy i odpowiedaj na inne
  • Zapisz się do tematów i for, aby otrzymywać automatyczne uaktualnienia
  • Dodawaj wydarzenia do kalendarza społecznościowego
  • Stwórz swój własny profil i zdobywaj nowych znajomych
  • Zdobywaj nowe doświadczenia

Dołączona grafika Dołączona grafika

Guest Message by DevFuse
 

Zdjęcie

Ruscy Hakerzy - Problemy Z Serwerem

rosja hakier problem serwer

  • Nie możesz napisać tematu
  • Zaloguj się, aby dodać odpowiedź
16 odpowiedzi w tym temacie

#1 bula1100

    Życzliwy

  • Użytkownik

Reputacja: 0
zer0.

  • Postów:30
  • Lokalizacja:Chelm
Offline

Napisano 27.07.2013 10:02

Witam

Od pewnego czasu borykam sie z probleme Ruskich Hakerów :lol:

Tak dobrze zrozumieliście niestety :(

 

Problem polega na tym, że włamują mi się na serwer i oczywiście go niszczą :(

Jak wyczytałem w wielu poradnikach zabezpieczeń to chodzi o HLDS ale niestety żaden z poradników nie był odpowiednio skuteczny.

 

Opis Problemu :

  • W plikach ftp znajduje różne pliki nowo powstałe o dziwnej treści, która działa tak np.

            * Stopują mi niektóre pluginy zabezpieczające

            * Ładują inne cfg

            * Zmieniają hasło rcon

            * Podmieniają pliki z folderu resource itp.

  • Po wejściu na tak zainfekowany serwer w swoich plikach w cs również znajduje nowe pliki, tym razem są to pliki cfg o bardzo dziwnych nazwach, tak aby nie budziły podejrzeń
Joystic
usercfg ( zamiast userconfig )
konsoleta
play
exec
serv
itp.

                                    Treść w tych plikach nie zawsze jest taka sama , aczkolwiek jednoznaczna np.

Connect hl.csgoogle.ru:27115
exec usercfg
itp.

Skutki Na Serwerze Oraz W Grze :

  • Podczas uruchamiania gry automatycznie łączy mnie z ruskim serwerem
  • Gdy zamierzam zmienić cos w opcjach po kliknieciu "Zatwierdź" lub "OK" zamiast zmienić ustawienia łaczy z ruskim serwerem
  • Podczas zakupu broni M4A1 lub AK47 lub AWP zamiast broń łaczy z ruskim serwerem
  • Serwer nieco pinguje po czym dostaje kick od HPK i nagle mnie łączy z ruskim serwerem
  • Ogólne lagi serwera
  • Co jakiś czas samoczynne zmiany np. grawitacji na serwerze
  • Co jakiś czas natychmiastowy kick każdego z serwera

Wgrane Zabezpieczenia Na Serwer :

anti_fullupdate_spam2.amxx
floodban.amxx
spambot_ban.amxx
plus_bug_fix.amxx
spambot_block.amxx
dp_block.amxx
filewatcher.amxx
plus_bug_fix.amxx   
autobuyfix.amxx  
+ kodowanie hasła rcon
+ najnowsze binarki

Korzystałem Z Tego Poradnika :

http://cssetti.pl/news/ochrona-serwerow-hlds-update-13-06-2013-fixy/

Dodam, że wszystkie wymienione czynności odbywają się również u moich graczy więc dzięki temu trace ich i serwer mi się rozpada o_O

 

 

IP Ruskiego Serwera :

hl.csgoogle.ru:27115

Proszę O Pomoc ! :giggle:


  • +
  • -
  • 0

#2 Kot-CSHH

    Wszechwidzący

  • Użytkownik

Reputacja: 50
Pomocny

  • Postów:272
  • Imię:Patryk
  • Lokalizacja:Żory
Offline

Napisano 27.07.2013 10:35

Może to hosting ma z nimi problem, i podkradają dane bazy FTP. Próbowałeś zmienić hasło do bazy FTP? Reinstall serwera?


  • +
  • -
  • 0

Zapraszam na najlepszy Surf XP Mod w sieci: 31.186.83.188:27069

b_350_20_692108_381007_FFFFFF_000000.png


#3 Exultet

    Pomocny

  • Użytkownik

Reputacja: -1
Mniej niż zer0.

  • Postów:45
  • Imię:Wojciech
  • Lokalizacja:Zamość
Offline

Napisano 27.07.2013 10:36

Jest to zapora , która odpowiedno zabezpieczy pliki serwerowe .

Załączone pliki


  • +
  • -
  • 1

Diablo Mod (UNIKAT) - Jedyny taki serwer w Polsce ! Zapraszam

IP : 193.33.177.12:27046


#4 Scorpion Flail

    Wszechobecny

  • Zbanowany

Reputacja: 122
Zaawansowany

  • Postów:469
  • GG:
  • Imię:Krystian
  • Lokalizacja:Grudziądz
Offline

Napisano 27.07.2013 10:49

Wgraj zmodyfikowaną binarkę do głównego folderu w FTP serwera:

 

 

http://www.speedysha.../engine-i686.so

 

 

Zobacz, czy w folderach: configs>maps, metamod nie masz jakiś nieporządanych plików .exec, ini.

Sprawdź również czy w folderze configs nie dodali ci pliku: plugins-amxx.ini, oraz w folderze plugins plików zaczynających się od redirect, np redirect1.amxx

 

+zmień nazwy wszystkich pluginów odpowiadających za zabezpieczenia

 

I nie wiem po co trzymasz pluginy: spambot_block.amxx /spambot_ban.amxx. Przejrzałem ich .sma z cssetti i pierwszy banuje i blokuje, a drugi tylko blokuje. Polecam zostawić tylko blokujący, ponieważ gracze mają różne "syfy" w confingach i mogą niewinne zostać zbanowani przez ten plugin.

Plugin: autobuyfix.amxx jest zbędny jeśli posiadasz najnowsze binarki, tj: 5787

 

To chyba tyle. Sam 3 tygodnie temu byłem atakowany 2x razy w podobne sposoby

 

 

 


Użytkownik Scorpion Flail edytował ten post 27.07.2013 10:50


#5 Wolen

    Zaawansowany

  • Użytkownik

Reputacja: 55
Pomocny

  • Postów:134
  • GG:
  • Imię:Jakub
  • Lokalizacja:Małopolska
Offline

Napisano 27.07.2013 11:14

http://amxx.pl/topic/113091-naprawa-serwera-po-ruskim-haku/

Skorzystaj z tego poradnika ;)


  • +
  • -
  • 0

 

Pamiętaj! Na obecną chwilę na tym forum nie jestem kimś kto potrafi pisać pluginy. Jestem osobą, która potrafi posługiwać się google, wyszukiwarką, dokumentacją oraz lubi pomagać innym :).

 

b_350_20_FFAD41_D27C10_000000_591F11.png

79.133.216.66:27015


#6 bula1100

    Życzliwy

  • Autor tematu
  • Użytkownik

Reputacja: 0
zer0.

  • Postów:30
  • Lokalizacja:Chelm
Offline

Napisano 27.07.2013 14:40

Może to hosting ma z nimi problem, i podkradają dane bazy FTP. Próbowałeś zmienić hasło do bazy FTP? Reinstall serwera?

Reinstalu serwera nie robiłem, chciałem się obejść bez tego

Natomiast hasło do bazy FTP zmieniałem kilkakrotnie

 

http://amxx.pl/topic/113091-naprawa-serwera-po-ruskim-haku/

Skorzystaj z tego poradnika ;)

 

Korzystałem, korzystałem już wcześniej go znalazłem niestety , po kilku dniach to samo

 

 

Wgraj zmodyfikowaną binarkę do głównego folderu w FTP serwera:

 

http://www.speedysha.../engine-i686.so

 

 

Binarke zaraz wgram i powiem co dalej sie dzieje

 

 

 

Zobacz, czy w folderach: configs>maps, metamod nie masz jakiś nieporządanych plików .exec, ini.

Sprawdź również czy w folderze configs nie dodali ci pliku: plugins-amxx.ini, oraz w folderze plugins plików zaczynających się od redirect, np redirect1.amxx

 

+zmień nazwy wszystkich pluginów odpowiadających za zabezpieczenia

 


I nie wiem po co trzymasz pluginy: spambot_block.amxx /spambot_ban.amxx. Przejrzałem ich .sma z cssetti i pierwszy banuje i blokuje, a drugi tylko blokuje. Polecam zostawić tylko blokujący, ponieważ gracze mają różne "syfy" w confingach i mogą niewinne zostać zbanowani przez ten plugin.

Plugin: autobuyfix.amxx jest zbędny jeśli posiadasz najnowsze binarki, tj: 5787

 

 

W tych folderach jak wspomniałem miałem nieporządane pliki aczkolwiek wszystkie kasuje, po jakimś czasie pojawiają sie podobne

Oczywiscie dzięki też za porade ze zmianą nazw pluginów zabezpieczających, być może pomoże , zobaczymy

I w takim razie wywale również jeden z tych pluginów co wspomniałeś

 

 

 

 

To chyba tyle. Sam 3 tygodnie temu byłem atakowany 2x razy w podobne sposoby

 

 

No jest to bardzo uciążliwe, serwer z 1k gt rank spadł mi w ciągu kilku dni do prawie 1,6 k gt rank

Szkoda graczy trzeba przyznać i serwera


  • +
  • -
  • 0

#7 bula1100

    Życzliwy

  • Autor tematu
  • Użytkownik

Reputacja: 0
zer0.

  • Postów:30
  • Lokalizacja:Chelm
Offline

Napisano 27.07.2013 14:50

Taka nowość

W plugins znalazłem :

  • steamupdate.amxx
  • amxhelp.amxx
  • azx.amxx

W configs znalazłem :

  • plugins-umm.ini

I takie pytanie , co odpowiada za buymenu bo jak mowie , przy zakupie broni łaczy z ruskim serwerem :)

 


Użytkownik bula1100 edytował ten post 27.07.2013 15:17

  • +
  • -
  • 0

#8 Indoor

    Zaawansowany

  • Użytkownik

Reputacja: 19
Początkujący

  • Postów:114
  • Lokalizacja:Gorzów Wielkopolski City.
Offline

Napisano 27.07.2013 15:34


steamupdate.amxx
amxhelp.amxx
azx.amxx

 

Masz w folderze "scripting" ich .sma? Może to któryś z nich, i da się zrobić blokadę.


  • +
  • -
  • 0

#9 bula1100

    Życzliwy

  • Autor tematu
  • Użytkownik

Reputacja: 0
zer0.

  • Postów:30
  • Lokalizacja:Chelm
Offline

Napisano 27.07.2013 15:42

No niestety .sma nie ma :/

Wersje .amxx wyrzuciłęm oczywiście

 

I dodam nowy trop :

Po wejściu na ich serwer do folderu z cs-em dodaje mi plik :

 

Nazwa : gameui

Typ : Skrypt Polecen Windows

Działanie : W tle windowsa , nie wiem za co odpowiada

Rozszerzenie : .cmd

 

Nie chce zaśmiecać tego forum więc zuploadowałem plik na Speedy Share jakby ktoś był ciekawy

 

Link :

http://www.speedyshare.com/jXJTE/gameui.cmd

Dodam również, że z tego co wywnioskowałem serwer z którym łączy tak na prawde nie służy do grania ...

Po wejściu na serwer nie da się dołączyć do żadnej drużyny, automatycznie jestem na Spekcie

 

Po chwili rozłacza mnie z serwerem i wyrzuca z gry, własnie wtedy tworzy wyżej wskazany plik


Użytkownik bula1100 edytował ten post 27.07.2013 15:50

  • +
  • -
  • 0

#10 Rodzyn

    Wszechwiedzący

  • Power User

Reputacja: 140
Zaawansowany

  • Postów:560
  • GG:
  • Imię:Dawid
  • Lokalizacja:Bielawa
Offline

Napisano 27.07.2013 16:20


Link :
http://www.speedysha...XJTE/gameui.cmd

 

Zapewne jest to wirus -_-..

 

Hm.. Ciekawa sprawa :(, a pisałeś do hostingu?

Myślę że nie obejdzie się bez reinstalacji serwera.

 

A pokaż konsole serwer'a czy coś w niej nie ma - np. próby rcon_password przez HLXBrute?


  • +
  • -
  • 0

#11 MarWit

    The Chosen One

  • Przyjaciel

Reputacja: 840
Czempion

  • Postów:1485
  • GG:
  • Steam:steam
  • Imię:Marcin
  • Lokalizacja:Bystrzyca
Offline

Napisano 27.07.2013 17:52


Nazwa : gameui
Typ : Skrypt Polecen Windows
Działanie : W tle windowsa , nie wiem za co odpowiada

 

Dodatkowe informacje:

Spakowany za pomocą mpress ( dość łatwo można rozpakować z użyciem OllyDbg, więc to nie było jakimś problemem )

Tworzy plik directx*.bat wykonuje i usuwa, modyfikuje resources i rejestr, tworzy hooki na klawiature, myszke, etc.

 

Po krótkiej analizie stwierdzam, że to keylogger ( to jest niepewne ) + patcher ( to na pewno. modyfikuje pliki w katalogu resource i nie tylko ).

Dump pliku bat prosto z rozpakowanej binarki: http://pastebin.com/HqPcScT0

Więcej mi się nie chce.

 

 

Jak możesz podrzuć wszystkie nowe/zmodyfikowane pliki z serwera.


Użytkownik MarWit edytował ten post 27.07.2013 18:01

  • +
  • -
  • 0

marwit-0.png


#12 Scorpion Flail

    Wszechobecny

  • Zbanowany

Reputacja: 122
Zaawansowany

  • Postów:469
  • GG:
  • Imię:Krystian
  • Lokalizacja:Grudziądz
Offline

Napisano 27.07.2013 18:09

I takie pytanie , co odpowiada za buymenu bo jak mowie , przy zakupie broni łaczy z ruskim serwerem :)

 

 

To już jest raczej w Twoim confingu w CS, tam szukaj odpowiedzi.

 

 

A jeśli chodzi o plik .ini i folder maps - wyczyść te pliki, ale nie usuwaj i nadaj CHMODY 444 [na plik i folder]

 

Jak pozbędziesz się tego całego syfu to ta zmodyfikowana binarka powinna "załatać dziurę"



#13 bula1100

    Życzliwy

  • Autor tematu
  • Użytkownik

Reputacja: 0
zer0.

  • Postów:30
  • Lokalizacja:Chelm
Offline

Napisano 28.07.2013 13:28

Zmienia nick do tego

Player [MegaFrag.ru]

 

wiec strona z nicku to :

http://megafrag.ru/

  • +
  • -
  • 0

#14 SebastianXXL

    Życzliwy

  • Zbanowany

Reputacja: -1
Mniej niż zer0.

  • Postów:37
  • Imię:Sebastian
  • Lokalizacja:Bramka / Podebłocie
Offline

Napisano 28.07.2013 13:31

Moim zdaniem Jesli(jesli masz paczke na kompie) To usun cala paczke z twojego servera i wstaw ja na nowo ;) mi tak pomoglo

#15 bula1100

    Życzliwy

  • Autor tematu
  • Użytkownik

Reputacja: 0
zer0.

  • Postów:30
  • Lokalizacja:Chelm
Offline

Napisano 28.07.2013 15:28

No tak to nie jest problem

Mi chodzi tu o rozwiazanie problemu, tak aby kazdy kiedyś na tym skorzystał
Co z tego, że przeinstaluje :) I tak przeinstaluje dla pewności ale mimo wszystko chce najpierw rozwiązać problem na przyszlosc


  • +
  • -
  • 0

#16 Scorpion Flail

    Wszechobecny

  • Zbanowany

Reputacja: 122
Zaawansowany

  • Postów:469
  • GG:
  • Imię:Krystian
  • Lokalizacja:Grudziądz
Offline

Napisano 28.07.2013 17:25

Wydaje mi się, że wszystkie rozwiązania zostały przedstawione. Wyczyść cfg w Twoim CS, zostauj się do powyższych wskazówek i obserwuj, czy na serwerze dalej się coś dzieje [ten atak raczej już się nie powtórzy, ponieważ dziury zostaly załatane.

Jedynie coś mogło jeszcze pozostać.

Jeśli nie - to jesteś już bezpieczny



#17 bula1100

    Życzliwy

  • Autor tematu
  • Użytkownik

Reputacja: 0
zer0.

  • Postów:30
  • Lokalizacja:Chelm
Offline

Napisano 28.07.2013 19:35

Zastosowałem się do porad, zobaczymy co z tego wyniknie :D


  • +
  • -
  • 0





Również z jednym lub większą ilością słów kluczowych: rosja, hakier, problem, serwer

Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych