19 odpowiedzi w tym temacie

[MrSpiryt]

Witam,

zaczelo sie od tego, ze wczoraj ktos zmienil moje okienko motd na link do wirusa
o nazwie cstrike.exe
Dzis wszedl na serwer typek o nicku ADMIN OWNER i zaczol zminiac cvary
zmienil hostname na swoj link do profilu http://www.cshacked.pl/user/4338-owner/
(proszę nie usuwac to bardzo wazne) i zablokowal serwer nadajac mu haslo... zarejstrowal sie na forum ale zdazylem od razu dac bana i zablokowac IP. Co jest bardzo interesujaca typ dostal bana na serwerze od mojego admina, na jego IP ale na MOJ STEAM ID.
Ostatnim razem jak ktos sie wlamal na mojego steama wyskoczylo mi ze ktos sie zalogowal i mialem
sie zalogowac 2 raz teraz nie bylo tego, co wiecej wszystkim co wszli na serwer dodal sie wirus do plikow steam'a (.dll). Po wpisaniu w przegladarce adresu tego wirusa wyskoczyly mi ze 2 linki
do innej dosc znanej strony o tematyce counter strike co mieli taki sam problem, bylo tam jedynie napisane o usunieciu okienka motd i ostrzezenie : apel do wszystkich! jezeli podczas wchodzenia na serwer, cs Ci sie zminimalizuje i pojawi sie informacja o pobraniu pliku (cstrike.exe) z anic tego nie pobieraj! Jest to nowy wirus typu Ransomware ktorywymusza okup w nietypowy sposob.

Po usunieciu z okienka motd linku on caly czas wraca....


Co wy na to ?

[GeDox]

Wyłącz serwer jak najszybciej (i zablokuj). Odinstaluj steama, przeskanuj komputer, zmień passy na steama i maila. Zainstaluj spowrotem.
http://www.tralalala.../post31437.html

[MrSpiryt]

bylbym zapomnial. Jak pisalem z typem na gg co chce, napisal ze zlecil mu to DARKGL z amxx
pytal czy go znam, pow ze tak i napisal ze mam mu od niego przekazac : "learn to code"

[DarkGL]

ze zlecil mu to DARKGL z amxx

nie mam z tym nic wspólnego
zresztą po co miałbym zlecać komuś napisanie czegoś jeśli sam jestem programistą :F

[sebul]

Powiem tyle, że dzisiaj miałem dokładnie to samo ^ ^ nic nie zostało "haknięte" (a przynajmniej nie widać żadnych śladów włamania na steam czy mail), tylko po prostu ktoś wbił po kolei na 2 serwery (albo i więcej, nie wiem bo akurat nie było mnie w tym momencie) mając mój sid i robił co chciał, bo mając wszystkie flagi nie ma praktycznie żadnych ograniczeń. Czyżby kolejny bug? Dark pisał, że może bug dproto, ale to tylko domysły. Zapomniałem tylko dodać, że nic o pobieraniu pliku cstrike.exe na serwerze nie słyszałem.

[diggs]

No dobra więc tak, u mnie sytuacja podobna podszyto się pod mojego steam_id, przez co uzyskano moje uprawnienia h@. Efektem tego było zmiana cvarów serwera, wyłączenie amxx'a, zmiana nazwy serwera na informującą o zmianie adresu ip i podano adres ip tego serwera CSHacked.PL [DR+XP MOD][Kolejka TT][AutoBH]@mojeserwery.pl [cs] Counter Strike 1.6

Ogólnie cały "atak" wygląda następująco:
1. Zdobycie steam_id head admina
2. Wykorzystując lukę na serwerze zmiana swojego steam_id na steam_id H@
3. Wykorzystanie zdobytych uprawnień w celu poczynienia szkód na serwerze.

Adres ip z którego ktoś się łączył z serwerem: 83.7.142.191.
Dodatkowo ustaliłem steam_id lecz jest on fałszywy - zupełnie tak jakby dproto ustawiało steam_id z adresu ip gracza, przy czym u mnie jest to wyłączone i ustawia standardowo STEAM_ID_LAN.


Edit1.

@Sebul - moim zdaniem h@ tego serwera znalazł w necie jakiś program "hakerski" i próbuje w ten sposób rozreklamować swój serwer bo jest tak beznadziejny (on i serwer) że inaczej się nie da.


Edit2.

PS.

Zapomniałem dodać że nie ma potrzeby odinstalowywania steam'a i skanowania komputera bo jeśli ktoś by wam ukradł konto nie moglibyście się zalogować więc bez obaw, po prostu ktoś wykorzystuję lukę która umożliwia mu ustawianie dowolnego steam_id.

[Cypis']

Wystarczy zmienić ustawienia dproto żeby revEmu był czytany jako nonsteam

[Muzzi]

A więc wypowiem się coś na ten temat, gdyż to jest 'ponoć' z naszej sieci.
Tak więc, sprawa wygląda następująco. Ani HeadAdmin tego serwera, ani nikt żaden inny z Administratorów serwerów tego nie robią.
Jest to sprawka któregoś z userów, nie jest pewne, naszej sieci czy wrogiej ( niestety nie powiem nazwy ). Wiem w czym polega problem.
Chłopak znalazł jakąś dziurę w zabezpieczeniu dproto dzięki czemu może za pomocą IP mieć steam_id jakiej kolwiek osoby. Tyle udało mi sie ustalić,
a jak to robi nie mam zielonego pojęcia.
Gdybym dowiedział się coś w tej sprawie nie zwłocznie was powiadomię.

Pozdrawiam
Muzzi

@Edit Macie moje słowo, że ŻADEN z Administracji SERWERA (głównej) nie robił czegoś takiego.

[Misiaczek ;c]

na ruski forum widzialem bodajze taki expolit odpaleś go, podawałeś steamid jakie chcesz miec, po czym klikaleś launcz, po chwili gdy wbijałeś na serwer miałeś jakimś cudem zemulowane steamid które podałeś , na ktorym to dokładnie nie pamiętam bym musiał znowu poszperać a zabezpieczenie na to jest łatwe u mnie kazdy admin ma tak iż jak ma neo to ip z ktorego laczy sie dane steamid musi byc z jego regionu, jak ma stałe to musi sie zgadzać

[Nenczoks]

Trzeba sprawę zgłosić na policję, a nie się ratować exploitami.. tym bardziej, że robi to 1 osoba.

[sebul]

A oto jego sid - STEAM_0:0:40785362 -> http://steamcommunit...561198041836452

[Nenczoks]

"U mnie dproto jest najnowsze, czyli 0.9.87." - to nie jest najnowsze dproto, bo wyszło nowsze.

[sebul]

Nie słyszałem o jakimś oficjalnym wydaniu, jedynie słyszałem, że dproto nie będzie już rozwijane (czyżby chodziło tylko o informowanie o aktualizacjach dproto na forum amxx.pl?), stąd też wydaje mi się, że 0.9.87 to najnowsza wersja.

[Nenczoks]

Na razie dproto sprawuje się dobrze, nie zauważyłem jakichś błędów, crashów itd.
A co do daty wydania, to bodajże 5.08.

[diggs]

Ja zaktualizowałem dproto do 0.9.179, wcześniej miałem jakąś starszą wersje.

[amator75]

Witam,przed wczoraj spotkalo to moja siec a wczesniej kilka godzin inna rownierz znana siec,chlopak sie bawi przez dproto i sid admina.
Nastepnie aby udowodnic ze moze kazda siec shakowac to zmienil wczoraj na chwile nazwe serwera i zapodal tam haslo ktory ma najlepszy rank w polsce(chyba 14 w GT).
Wlamal sie rownierz na sklepik od Xvaka,powiedzial ze ma takze dziury,ale jego serwerow nie ruszy bo to stary znajomy z jego forum(nazwa juz byla podana wyzej)

Jestesmy bez radni,serwery ustawilismy only steam aby temu zapobiec ale wiadomo ze traci sie graczy bo wiekszosc gra ns.
Pozdrowienia dla OWNER czy tam banek,takimi nickami poslugiwal sie u nas.

[Rodzyn]

Witam,przed wczoraj spotkalo to moja siec a wczesniej kilka godzin inna rownierz znana siec,chlopak sie bawi przez dproto i sid admina.
Nastepnie aby udowodnic ze moze kazda siec shakowac to zmienil wczoraj na chwile nazwe serwera i zapodal tam haslo ktory ma najlepszy rank w polsce(chyba 14 w GT).
Wlamal sie rownierz na sklepik od Xvaka,powiedzial ze ma takze dziury,ale jego serwerow nie ruszy bo to stary znajomy z jego forum(nazwa juz byla podana wyzej)

Jestesmy bez radni,serwery ustawilismy only steam aby temu zapobiec ale wiadomo ze traci sie graczy bo wiekszosc gra ns.
Pozdrowienia dla OWNER czy tam banek,takimi nickami poslugiwal sie u nas.

1. Łopata półroku
2. Daje zakład że wkrótce "karma" do niego wróci. Tylko kwestia czasu niż zaatakuje sieć serwerów która da mu opór..
3. Jeżeli już znamy jego ip i sid to teraz musimy się ogarnąć i zrobić plugin który nie przepuszczał by jego ip na serwer. No chyba że ma zmienne to wtedy neobans..