Skocz do zawartości

  • Zaloguj korzystając z Facebooka Zaloguj korzystając z Twittera Zaloguj przez Steam Zaloguj poprzez Google      Logowanie »   
  • Rejestracja

Witamy w Nieoficjalnym polskim support'cie AMX Mod X

Witamy w Nieoficjalnym polskim support'cie AMX Mod X, jak w większości społeczności internetowych musisz się zarejestrować aby móc odpowiadać lub zakładać nowe tematy, ale nie bój się to jest prosty proces w którym wymagamy minimalnych informacji.

  • Rozpoczynaj nowe tematy i odpowiedaj na inne
  • Zapisz się do tematów i for, aby otrzymywać automatyczne uaktualnienia
  • Dodawaj wydarzenia do kalendarza społecznościowego
  • Stwórz swój własny profil i zdobywaj nowych znajomych
  • Zdobywaj nowe doświadczenia

Dołączona grafika Dołączona grafika

Guest Message by DevFuse
 

Zdjęcie

hakerzy - wlamanie na serwer


  • Zamknięty Temat jest zamknięty
19 odpowiedzi w tym temacie

#1 MrSpiryt

    Banned

  • Zbanowany

Reputacja: 14
Początkujący

  • Postów:248
  • Imię:Tomek
  • Lokalizacja:Poznan
Offline

Napisano 06.08.2012 17:47

Witam,

zaczelo sie od tego, ze wczoraj ktos zmienil moje okienko motd na link do wirusa
o nazwie cstrike.exe
Dzis wszedl na serwer typek o nicku ADMIN OWNER i zaczol zminiac cvary
zmienil hostname na swoj link do profilu http://www.cshacked.pl/user/4338-owner/
(proszę nie usuwac to bardzo wazne) i zablokowal serwer nadajac mu haslo... zarejstrowal sie na forum ale zdazylem od razu dac bana i zablokowac IP. Co jest bardzo interesujaca typ dostal bana na serwerze od mojego admina, na jego IP ale na MOJ STEAM ID.
Ostatnim razem jak ktos sie wlamal na mojego steama wyskoczylo mi ze ktos sie zalogowal i mialem
sie zalogowac 2 raz teraz nie bylo tego, co wiecej wszystkim co wszli na serwer dodal sie wirus do plikow steam'a (.dll). Po wpisaniu w przegladarce adresu tego wirusa wyskoczyly mi ze 2 linki
do innej dosc znanej strony o tematyce counter strike co mieli taki sam problem, bylo tam jedynie napisane o usunieciu okienka motd i ostrzezenie : apel do wszystkich! jezeli podczas wchodzenia na serwer, cs Ci sie zminimalizuje i pojawi sie informacja o pobraniu pliku (cstrike.exe) z anic tego nie pobieraj! Jest to nowy wirus typu Ransomware ktorywymusza okup w nietypowy sposob.

Po usunieciu z okienka motd linku on caly czas wraca....


Co wy na to ?

ZabijamBoLubie.PL


#2 GeDox

    Wszechpomocny

  • Użytkownik

Reputacja: 125
Zaawansowany

  • Postów:315
  • Steam:steam
  • Imię:Przemysław
  • Lokalizacja:Kielce
Offline

Napisano 06.08.2012 17:52

Wyłącz serwer jak najszybciej (i zablokuj). Odinstaluj steama, przeskanuj komputer, zmień passy na steama i maila. Zainstaluj spowrotem.
http://www.tralalala.../post31437.html
  • +
  • -
  • 1

#3 MrSpiryt

    Banned

  • Autor tematu
  • Zbanowany

Reputacja: 14
Początkujący

  • Postów:248
  • Imię:Tomek
  • Lokalizacja:Poznan
Offline

Napisano 06.08.2012 17:53

bylbym zapomnial. Jak pisalem z typem na gg co chce, napisal ze zlecil mu to DARKGL z amxx
pytal czy go znam, pow ze tak i napisal ze mam mu od niego przekazac : "learn to code"

ZabijamBoLubie.PL


#4 DarkGL

    Nie oddam ciasteczka !

  • Administrator

Reputacja: 6033
Godlike

  • Postów:10825
  • GG:
  • Steam:steam
  • Imię:Rafał
  • Lokalizacja:Warszawa
Offline

Napisano 06.08.2012 18:57

ze zlecil mu to DARKGL z amxx

nie mam z tym nic wspólnego
zresztą po co miałbym zlecać komuś napisanie czegoś jeśli sam jestem programistą :F
  • +
  • -
  • 0

#5 sebul

    Godlike

  • Junior Admin

Reputacja: 2016
Godlike

  • Postów:5411
  • Steam:steam
  • Imię:Sebastian
  • Lokalizacja:Ostrołęka
Offline

Napisano 06.08.2012 20:48

Powiem tyle, że dzisiaj miałem dokładnie to samo ^ ^ nic nie zostało "haknięte" (a przynajmniej nie widać żadnych śladów włamania na steam czy mail), tylko po prostu ktoś wbił po kolei na 2 serwery (albo i więcej, nie wiem bo akurat nie było mnie w tym momencie) mając mój sid i robił co chciał, bo mając wszystkie flagi nie ma praktycznie żadnych ograniczeń. Czyżby kolejny bug? Dark pisał, że może bug dproto, ale to tylko domysły. Zapomniałem tylko dodać, że nic o pobieraniu pliku cstrike.exe na serwerze nie słyszałem.
  • +
  • -
  • 0
Posiadam TBM (inaczej PTB), które działa dużo lepiej niż zwykłe PTB, nawet na modach z lvlami. Zainteresowany? Proszę bardzo
Generator tabeli expa - aż do 103600 poziomu

#6 diggs

    Wszechwidzący

  • Użytkownik

Reputacja: 28
Życzliwy

  • Postów:229
  • Lokalizacja:Internet
Offline

Napisano 06.08.2012 23:28

No dobra więc tak, u mnie sytuacja podobna podszyto się pod mojego steam_id, przez co uzyskano moje uprawnienia h@. Efektem tego było zmiana cvarów serwera, wyłączenie amxx'a, zmiana nazwy serwera na informującą o zmianie adresu ip i podano adres ip tego serwera CSHacked.PL [DR+XP MOD][Kolejka TT][AutoBH]@mojeserwery.pl [cs] Counter Strike 1.6

Ogólnie cały "atak" wygląda następująco:
1. Zdobycie steam_id head admina
2. Wykorzystując lukę na serwerze zmiana swojego steam_id na steam_id H@
3. Wykorzystanie zdobytych uprawnień w celu poczynienia szkód na serwerze.

Adres ip z którego ktoś się łączył z serwerem: 83.7.142.191.
Dodatkowo ustaliłem steam_id lecz jest on fałszywy - zupełnie tak jakby dproto ustawiało steam_id z adresu ip gracza, przy czym u mnie jest to wyłączone i ustawia standardowo STEAM_ID_LAN.


Edit1.

@Sebul - moim zdaniem h@ tego serwera znalazł w necie jakiś program "hakerski" i próbuje w ten sposób rozreklamować swój serwer bo jest tak beznadziejny (on i serwer) że inaczej się nie da.


Edit2.

PS.

Zapomniałem dodać że nie ma potrzeby odinstalowywania steam'a i skanowania komputera bo jeśli ktoś by wam ukradł konto nie moglibyście się zalogować więc bez obaw, po prostu ktoś wykorzystuję lukę która umożliwia mu ustawianie dowolnego steam_id.
sebul (06.08.2012 22:55):
Dokładnie taki sam adres IP był u mnie.

Użytkownik diggs edytował ten post 06.08.2012 23:28

  • +
  • -
  • 0

cFun.pl BaseBuilderPro v6.5.8 Tirant edit by diggs
IP: 80.82.16.66:27034
b_350_20_D91408_470002_FFFFFA_000000.png

cFun.pl Only AWP - 1000 FPS [SkinsMod]
IP: 80.72.42.113:27015
b_350_20_F8D241_B69427_0F100D_000000.png


#7 Cypis'

    Master

  • Przyjaciel

Reputacja: 1138
Super Hero

  • Postów:964
  • GG:
  • Steam:steam
  • Lokalizacja:polska
Offline

Napisano 06.08.2012 23:33

Wystarczy zmienić ustawienia dproto żeby revEmu był czytany jako nonsteam
  • +
  • -
  • 0

#8 Gość_21977_*

  • Gość

Reputacja: 0

Offline

Napisano 07.08.2012 00:03

83.7.142.191 - Zakopane

#9 Muzzi

    Guru

  • Przyjaciel

Reputacja: 226
Wszechwidzący

  • Postów:772
  • Lokalizacja:Kraków
Offline

Napisano 07.08.2012 00:03

A więc wypowiem się coś na ten temat, gdyż to jest 'ponoć' z naszej sieci.
Tak więc, sprawa wygląda następująco. Ani HeadAdmin tego serwera, ani nikt żaden inny z Administratorów serwerów tego nie robią.
Jest to sprawka któregoś z userów, nie jest pewne, naszej sieci czy wrogiej ( niestety nie powiem nazwy ). Wiem w czym polega problem.
Chłopak znalazł jakąś dziurę w zabezpieczeniu dproto dzięki czemu może za pomocą IP mieć steam_id jakiej kolwiek osoby. Tyle udało mi sie ustalić,
a jak to robi nie mam zielonego pojęcia.
Gdybym dowiedział się coś w tej sprawie nie zwłocznie was powiadomię.

Pozdrawiam
Muzzi

@Edit Macie moje słowo, że ŻADEN z Administracji SERWERA (głównej) nie robił czegoś takiego.
sebul (07.08.2012 00:58):
Jakoś nie chce mi się wierzyć, że to nie on...

  • +
  • -
  • 0

#10 Misiaczek ;c

    /dev/null

  • Moderator

Reputacja: 1662
Godlike

  • Postów:2495
  • GG:
  • Steam:steam
  • Imię:Michał
  • Lokalizacja:Halemba
Offline

Napisano 07.08.2012 00:22

na ruski forum widzialem bodajze taki expolit :P odpaleś go, podawałeś steamid jakie chcesz miec, po czym klikaleś launcz, po chwili gdy wbijałeś na serwer miałeś jakimś cudem zemulowane steamid które podałeś :P, na ktorym to dokładnie nie pamiętam bym musiał znowu poszperać :P a zabezpieczenie na to jest łatwe :P u mnie kazdy admin ma tak iż jak ma neo to ip z ktorego laczy sie dane steamid musi byc z jego regionu, jak ma stałe to musi sie zgadzać :P
  • +
  • -
  • 0

#11 Gość_21977_*

  • Gość

Reputacja: 0

Offline

Napisano 07.08.2012 00:29

Sprawdź, czy jesteś podatny na atak UDP
4500 0021 788f 0000 f711 f4b6 4df7 46db
c0a8 010b c360 698e 000d 265f ffff ffff
56

4500 0594 0000 4000 4011 ded3 c0a8 010b
4df7 46db 698e c360 0580 3d16 feff ffff
6a37 2c00 02ff ffff ff45 6000 5f74 7574

4500 01ab 0000 4000 4011 e2bc c0a8 010b
4df7 46db 698e c360 0197 0346 feff ffff
6a37 2c00 1276 5f61 6c6c 6f77 7570 6c6f
jeśli tak, to zastosuj iptables rule
-А INPUT -p udp -m udp -m string --hex-string "|FFFFFFFF56|" --algo kmp -j DROP

(07.08.2012 00:31):
i podaj wersję dProto, z jakiej korzystasz, np. 0.9.179
sebul (07.08.2012 00:50):
U mnie dproto jest najnowsze, czyli 0.9.87.

Ogólnie mam rozumieć, że te polecenia dać do supportu? Bo raczej ja tego nigdzie nie dodam ^^

Użytkownik benio101 edytował ten post 07.08.2012 00:31
Literówka w treści postu, nie w kodzie


#12 Nenczoks

    Banned

  • Zbanowany

Reputacja: 50
Pomocny

  • Postów:358
  • Lokalizacja:Warszawa
Offline

Napisano 07.08.2012 00:41

Trzeba sprawę zgłosić na policję, a nie się ratować exploitami.. tym bardziej, że robi to 1 osoba.

#13 sebul

    Godlike

  • Junior Admin

Reputacja: 2016
Godlike

  • Postów:5411
  • Steam:steam
  • Imię:Sebastian
  • Lokalizacja:Ostrołęka
Offline

Napisano 07.08.2012 00:45

A oto jego sid - STEAM_0:0:40785362 -> http://steamcommunit...561198041836452
  • +
  • -
  • 0
Posiadam TBM (inaczej PTB), które działa dużo lepiej niż zwykłe PTB, nawet na modach z lvlami. Zainteresowany? Proszę bardzo
Generator tabeli expa - aż do 103600 poziomu

#14 Nenczoks

    Banned

  • Zbanowany

Reputacja: 50
Pomocny

  • Postów:358
  • Lokalizacja:Warszawa
Offline

Napisano 07.08.2012 01:13

"U mnie dproto jest najnowsze, czyli 0.9.87." - to nie jest najnowsze dproto, bo wyszło nowsze.

#15 sebul

    Godlike

  • Junior Admin

Reputacja: 2016
Godlike

  • Postów:5411
  • Steam:steam
  • Imię:Sebastian
  • Lokalizacja:Ostrołęka
Offline

Napisano 07.08.2012 01:17

Nie słyszałem o jakimś oficjalnym wydaniu, jedynie słyszałem, że dproto nie będzie już rozwijane (czyżby chodziło tylko o informowanie o aktualizacjach dproto na forum amxx.pl?), stąd też wydaje mi się, że 0.9.87 to najnowsza wersja.
(07.08.2012 01:19):
rozbawiłeś mnie :D
sebul (07.08.2012 01:26):
Ja tam na ruskie strony nie zaglądam ^^ to skąd miałem wiedzieć? :D
(07.08.2012 01:29):
no tak :D
(07.08.2012 01:33):
Poprawiam, bo źle się wyraziłem: rozbawiłeś mnie nie Ty, ale samo zdanie w kontekście tematu.
(07.08.2012 01:33):
Mam nadzieję, że teraz brzmi to lepiej.
sebul (07.08.2012 01:50):
Ja tam to zrozumiałem normalnie, czyli tak jak miałem zrozumieć ^^
(07.08.2012 01:55):
Wychodzi na to, że to ja nie zrozumiałem własnej notki :D

  • +
  • -
  • 0
Posiadam TBM (inaczej PTB), które działa dużo lepiej niż zwykłe PTB, nawet na modach z lvlami. Zainteresowany? Proszę bardzo
Generator tabeli expa - aż do 103600 poziomu

#16 Gość_21977_*

  • Gość

Reputacja: 0

Offline

Napisano 07.08.2012 01:18

U mnie dproto jest najnowsze, czyli 0.9.87.

Jesteś 92 wersje do tyłu :D
0.9.179:
- fixed "STEAM userid keysize is bogus" error on SteamEmu clients

0.9.178:
- fixed "Invalid challenge format" warning when client joins server

0.9.87-0.9.177:
- Some bugs fixed (I don't remember what bugs  )
- Removed subserver and master-client as they are not needed now
- Added challenge checking code to "rules" and "players list" requests handlers
Tutaj najnowsza wersja: http://cs.rin.ru/for...hp?t=55986&f=29
A ten kod to poprzez zapytanie UDP wyślij i sprawdź, czy serwer jest podatny, a sądząc po posiadaniu przestarzałej wersji, sądzę, że tak.
sebul (07.08.2012 01:21):
Yyy jak to niższy numer i nowsza wersja? To nie dziwne, że nic mi nie wiadomo o nowszej wersji...
sebul (07.08.2012 01:23):
Znaczy zależy jak na to patrzeć, co nie zmienia faktu, że jeśli się nie wie, że wyszła jakaś wersja z 3-cyfrowym numerkiem 3 elementu, to nie ma jak się dowiedzieć o tym, że wszyła nowa wersja.
(07.08.2012 01:23):
179 jest większe, niż 87 :D
(07.08.2012 01:24):
aha.. no chyba, że tak ;)
sebul (07.08.2012 01:25):
A i to jeszcze w dodatku 0.9.87 istnieje jako "Previous stable:" czyli chyba dlatego tak cicho w sprawie nowszych wersji ^^
(07.08.2012 01:30):
Choć kolejne wersje łatają dość istotne błędy i warto, żeby aktualizować dProto na bieżącą.
sebul (07.08.2012 01:35):
A kiedy te nowsze wersje w ogóle wyszły (widać, że 0.9.179 niedawno)? Bo pamiętam, że jakoś chyba na koniec 2011 roku, albo i trochę później szukałem u wujka google czy nie ma jakichś nowszych wersji.
(07.08.2012 02:01):
Niestety, nie zagłębiałem się za bardzo, kiedy kolejne wersje były wydawane, ale na zalinkowanym forum jest dużo przydatnych informacji, może uda się odnaleźć przynajmniej daty kolejnych publicznych wydań dProto po postach typu "thanks, bro" czy "U a3E @v50M3 :D:D:D :P".
(07.08.2012 02:01):
A polecam śledzić ze względu na informacje o nowo wydanych hackach i sposobach radzenia sobie z nimi.
(07.08.2012 02:03):
Gdyby Administratorzy serwerów scrackowanych na bieżąco aktualizowali dProto i czytali problemy zawarte w tym zalinkowanym linku, to zapewne liczba tematów z problemami o dProto spadłaby o min. 90%, o problemach z serwerami nie wspominając.


#17 Nenczoks

    Banned

  • Zbanowany

Reputacja: 50
Pomocny

  • Postów:358
  • Lokalizacja:Warszawa
Offline

Napisano 07.08.2012 11:49

Na razie dproto sprawuje się dobrze, nie zauważyłem jakichś błędów, crashów itd.
A co do daty wydania, to bodajże 5.08.

#18 diggs

    Wszechwidzący

  • Użytkownik

Reputacja: 28
Życzliwy

  • Postów:229
  • Lokalizacja:Internet
Offline

Napisano 07.08.2012 17:07

Ja zaktualizowałem dproto do 0.9.179, wcześniej miałem jakąś starszą wersje.
  • +
  • -
  • 0

cFun.pl BaseBuilderPro v6.5.8 Tirant edit by diggs
IP: 80.82.16.66:27034
b_350_20_D91408_470002_FFFFFA_000000.png

cFun.pl Only AWP - 1000 FPS [SkinsMod]
IP: 80.72.42.113:27015
b_350_20_F8D241_B69427_0F100D_000000.png


#19 amator75

    Zaawansowany

  • Właściciel

Reputacja: 75
Zaawansowany

  • Postów:135
  • Steam:steam
  • Imię:Arkadiusz
  • Lokalizacja:Norwegia
Offline

Napisano 19.01.2013 09:10

Witam,przed wczoraj spotkalo to moja siec a wczesniej kilka godzin inna rownierz znana siec,chlopak sie bawi przez dproto i sid admina.
Nastepnie aby udowodnic ze moze kazda siec shakowac to zmienil wczoraj na chwile nazwe serwera i zapodal tam haslo ktory ma najlepszy rank w polsce(chyba 14 w GT).
Wlamal sie rownierz na sklepik od Xvaka,powiedzial ze ma takze dziury,ale jego serwerow nie ruszy bo to stary znajomy z jego forum(nazwa juz byla podana wyzej)

Jestesmy bez radni,serwery ustawilismy only steam aby temu zapobiec ale wiadomo ze traci sie graczy bo wiekszosc gra ns.
Pozdrowienia dla OWNER czy tam banek,takimi nickami poslugiwal sie u nas.
  • +
  • -
  • 1

#20 Rodzyn

    Wszechwiedzący

  • Power User

Reputacja: 140
Zaawansowany

  • Postów:560
  • GG:
  • Imię:Dawid
  • Lokalizacja:Bielawa
Offline

Napisano 19.01.2013 09:56

Witam,przed wczoraj spotkalo to moja siec a wczesniej kilka godzin inna rownierz znana siec,chlopak sie bawi przez dproto i sid admina.
Nastepnie aby udowodnic ze moze kazda siec shakowac to zmienil wczoraj na chwile nazwe serwera i zapodal tam haslo ktory ma najlepszy rank w polsce(chyba 14 w GT).
Wlamal sie rownierz na sklepik od Xvaka,powiedzial ze ma takze dziury,ale jego serwerow nie ruszy bo to stary znajomy z jego forum(nazwa juz byla podana wyzej)

Jestesmy bez radni,serwery ustawilismy only steam aby temu zapobiec ale wiadomo ze traci sie graczy bo wiekszosc gra ns.
Pozdrowienia dla OWNER czy tam banek,takimi nickami poslugiwal sie u nas.


1. Łopata półroku :D
2. Daje zakład że wkrótce "karma" do niego wróci. Tylko kwestia czasu niż zaatakuje sieć serwerów która da mu opór..
3. Jeżeli już znamy jego ip i sid to teraz musimy się ogarnąć i zrobić plugin który nie przepuszczał by jego ip na serwer. No chyba że ma zmienne to wtedy neobans.. :(
  • +
  • -
  • 0




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych