Взлом AmxBans 6 GM 1.6 через Shell, Есть ли защита? |
Здравствуйте, гость Вход | Регистрация
Наши новости:
|
|
Взлом AmxBans 6 GM 1.6 через Shell, Есть ли защита? |
Yaroslav |
26.5.2015, 22:54
Сообщение
|
|
Yaroslav, он получил скорее всего данные от базы amxbans, а теперь представь что он может с ней делать, там все пароли, всех админов хранятся, все SteamID и тп Как Я понял, то соль в дпрото не прописана Можно поподробнее, что за соль? Текущий конфиг: Скрытый текст Код Game_Name =[ NoCheat Server ] LoggingMode = 2 cid_HLTV = 5 cid_NoSteam47 = 5 cid_NoSteam48 = 5 cid_Steam = 1 cid_SteamPending = 9 cid_RevEmu = 1 cid_SC2009 = 1 cid_OldRevEmu = 1 cid_AVSMP = 1 cid_Setti = 3 cid_SSE3 = 3 SC2009_RevCompatMode = 1 SteamEmuCompatMode = 1 OldEstCompatMode = 0 IPGen_Prefix1 = 3 IPGen_Prefix2 = 0 Native_Prefix1 = 0 RevEmu_Prefix1 = 4 OldRevEmu_Prefix1 = 1 SteamEmu_Prefix1 = 2 AVSMP_Prefix1 = 5 Setti_Prefix1 = 6 SSE3_Prefix1 = 7 DisableNativeAuth = 0 ServerInfoAnswerType = 2 HLStatsPlayerIdFix = 0 ExportVersion = 1 HLTVExcept_IP = 46.174.48.32 FakePlayers_AntiReconnect = 1 FakePlayers_BanTime = -1 cid_RevEmu2013 = 1 cid_SteamEmu = 1 cid_SXEI = 1 EnableSXEIdGeneration = 0 SC2009_Prefix1 = 0 RevEmu2013_Prefix1 = 0 SXEI_Prefix1 = 0 Exploits_CheckDownloads = 1 Exploits_DisableUploads = 1 ThreatsLoggingMode = 0 SpreadUserInfoColors = 0 SteamIdHashSalt = |
|
|
ex3m777 |
26.5.2015, 22:55
Сообщение
|
|
ex3m777, изучай
Защита от подмены на определённые SteamID |
Поблагодарили 1 раз
|
|
Yaroslav |
26.5.2015, 23:02
Сообщение
|
|
ex3m777, изучай Защита от подмены на определённые SteamID Спасибо, не видел эту тему Сейфити. Попробую, может поможет. |
|
|
Yaroslav |
26.5.2015, 23:23
Сообщение
|
|
Еще информация: сервер, распространяющий троян, стоит у этого товарища дома на своем статическом IP:
Скрытый текст 90.157.6.58:27014
Отредактировал: Yaroslav, - 26.5.2015, 23:25
|
|
|
stardock |
27.5.2015, 0:20
Сообщение
|
|
какой еще троян? это лапша повешанная на уши, обычный сплоит php скрипта.
|
Поблагодарили 1 раз
|
|
Yaroslav |
27.5.2015, 1:09
Сообщение
|
|
какой еще троян? это лапша повешанная на уши, обычный сплоит php скрипта. Ну там может быть и dll'ка с asi файлом, не суть. У меня остается 1 вопрос. Как происходит клонирование админа, прописанного по нику/паролю, не зная пароля?
Отредактировал: Yaroslav, - 27.5.2015, 1:11
|
|
|
[WPMG]PRoSToTeM@ |
27.5.2015, 2:33
Сообщение
|
На сервер пока не заходил, но пригласив на свой сервер можно получить:
1) AuthID и при желании AuthString или тикет 2) UserInfo и в частности "пароль от админки" Затем зайти на целевой сервер под "данными админа" и через ркон получить данные от базы если они записаны в текстовом файле или кварах. |
|
Поблагодарили 2 раз
|
|
Metal Messiah |
27.5.2015, 3:12
Сообщение
|
|
Цитата Заходит на сервер, узнает данные от базы и дальше дело техники.. ИМХО надо не давать админам доступ к CVAR для параноиков перекомпилить amxbans заменив название кваров, относящихся к логину/паролю БД Если баг действительно в веб части могу посмотреть, быстро не обещаю и нужны доступы либо дамп файлов, бд и лог взлома Полезные публикации - ссылки у меня в профиле. Ссылка на плагин против спама на сервере StopServerSpam там же.
|
|
|
[WPMG]PRoSToTeM@ |
27.5.2015, 3:24
Сообщение
|
|
|
Yaroslav |
27.5.2015, 3:40
Сообщение
|
|
На сервер пока не заходил, но пригласив на свой сервер можно получить: 1) AuthID и при желании AuthString или тикет 2) UserInfo и в частности "пароль от админки" Затем зайти на целевой сервер под "данными админа" и через ркон получить данные от базы если они записаны в текстовом файле или кварах. Спасибо, это вполне понятно. На своем сервере он получил значения setinfo конфига. Зашел на "целевой" сервер с правами данного админа (логин/пароль). А дальше его встретило: rcon "", rcon_password "" - пустые. amx_cvar, amx_plugincvarmenu, amx_cvarmenu на флаги, которых нет ни у кого. Доступ к БД банса прописан только в конфиге Фрешбанса и в sql.cfg на сервере. Пароли к БД/вебморде банса разные. Значит он получил доступ к БД Банса и изменил хеш сумму поля пароля. Таким образом сменив пароль к морде банса. (в логах банса не было изменения пароля данного админа, значит смена произошла из БД) Как он получил доступ к sql.cfg?
Отредактировал: Yaroslav, - 27.5.2015, 3:42
|
|
|
[WPMG]PRoSToTeM@ |
27.5.2015, 3:53
Сообщение
|
Yaroslav, amx_rcon же.
|
|
Поблагодарили 1 раз
|
|
shaid |
27.5.2015, 3:58
Сообщение
|
|
] amx_cvar amx_sql_host; amx_cvar amx_sql_user; amx_cvar amx_sql_pass
[AMXX] Cvar "amx_sql_host" is "***" [AMXX] Cvar "amx_sql_user" is "***" [AMXX] Cvar "amx_sql_pass" is "***" |
Поблагодарили 1 раз
|
|
Yaroslav |
27.5.2015, 4:08
Сообщение
|
|
|
|
|
XyLiGaN |
27.5.2015, 4:38
Сообщение
|
Yaroslav, Этот тип ещё и деньги предлагает за троян =D
Инфа И всё, больше мы с ним не пересекались =) Информация по Скайпу. Логин: semenov-alekse1 Его реальный IP: адрес: 185.11.229.241 Администраторов, если есть возможность забанить этого типа, если он тут есть или бывал, то было бы очень хорошо. 1. У меня все админки через users.ini и только лишь Steam-игрокам, а также выставлены по Steam ID т.е. толку от веб-морды = 0 (только снимать/редактировать баны). 2.Все файлы у меня скачиваются, только с быстрой закачки, а также стоят 2-3 квара на запрет закачки файлов на сервер. Ну и ни у кого нет флага доступа "l", есть, он только у меня. Также стоит "уникальная" SteamIdHashSalt + выставлены отдельные префиксы, только для Steam игроков. Так что, я думаю, что чтобы я заходил или же нет, то толку было бы 0 :) Я уже в это время спал, когда звонил ты мне, так что как с работы приеду, отпишусь тебе или перезвоню. |
|
|
|
Yaroslav |
27.5.2015, 5:03
Сообщение
|
|
Yaroslav, Этот тип ещё и деньги предлагает за троян =D Инфа И всё, больше мы с ним не пересекались =) Информация по Скайпу. Логин: semenov-alekse1 Его реальный IP: адрес: 185.11.229.241 Администраторов, если есть возможность забанить этого типа, если он тут есть или бывал, то было бы очень хорошо. 1. У меня все админки через users.ini и только лишь Steam-игрокам, а также выставлены по Steam ID т.е. толку от веб-морды = 0 (только снимать/редактировать баны). 2.Все файлы у меня скачиваются, только с быстрой закачки, а также стоят 2-3 квара на запрет закачки файлов на сервер. Ну и ни у кого нет флага доступа "l", есть, он только у меня. Также стоит "уникальная" SteamIdHashSalt + выставлены отдельные префиксы, только для Steam игроков. Так что, я думаю, что чтобы я заходил или же нет, то толку было бы 0 :) Я уже в это время спал, когда звонил ты мне, так что как с работы приеду, отпишусь тебе или перезвоню. Спасибо большое старик :) Да, это именно он (по логину в скайпе). Былая целая новелла из серии "Шерлок Холмс" по выяснению того как меня ломанули: 1. Увидел смену пароля к морде банса - подумал: Шелл поймал хозяин сервера, так как я его точно не ловил) 2. Увидел баны от хозяина сервера в бансе, посмотрел IP взломщика, по нему все, что он делал в логах. 3. Нашел сообщение, похожее на скайп, после сообщений о продаже "способа взлома", увидел, что человек с таким именем добавился ко мне в вк. Сам набрал ему в скайп :) 4. Вытягивал из него пару часов как он это сделал, так как бесплатно он рассказывать не хотел. 5. От него выяснил, что заманил хозяина сервера на свой сервер и там все у него спер (setinfo) :) 6. Выяснил, что без заманивания он ничего сделать не может и это не шелл. 7. Понял, как он склонировал заманенного админа - хозяина сервера. 8. Возможно, через открытые amx_cvar (сейчас я все перебрал по-новой) он спер доступ к БД банса, точнее не он сам, а его утилита, в которой он только умеет нажимать кнопку "start". 9. Возможно через эту же утилиту он клонирует userid любого зашедшего админа, беря пароль из БД, как хеш сумму числа поля с паролем и также меняет поле "password" таблицы "amx_webadmins". Подожду его, погляжу, сможет ли снова ломануть и верна ли моя цепочка расследования.))
Отредактировал: Yaroslav, - 27.5.2015, 5:05
|
|
|
XyLiGaN |
27.5.2015, 5:08
Сообщение
|
Yaroslav, Можешь, его ещё раз ко мне отправить =D
|
|
|
|
Yaroslav |
27.5.2015, 10:59
Сообщение
|
|
Конец истории. После применения всех советов данной темы взлом повторный стал невозможным. Самым действенным и результирующим всю работу было дать админки по реальному стимайди/паролю.
|
|
|
XyLiGaN |
27.5.2015, 11:01
Сообщение
|
Yaroslav, Пароль, можешь убрать, он не актуален)
|
|
|
|
georgeml |
27.5.2015, 11:15
Сообщение
|
Yaroslav, Пароль, можешь убрать, он не актуален) Ну почему же... Некоторым помогает, как защита от "младшего брата", который играет, пока ты в институте (в школе, на работе, умер).. А еще помогает проверить работу своих админов со стороны, зайдя без прав и с другим ником
Отредактировал: georgeml, - 27.5.2015, 11:17
|
|
|
|
XyLiGaN |
27.5.2015, 11:21
Сообщение
|
georgeml, Ну это уже зависит от того, если ли младший брат и какой собственно сам сервер.
Обычно, раньше ставили пароль, только на связку, вместе с ником, а если доп защита нужна была, то уже и на IP со Steam ID. Но, а так как админки, выдаются сейчас в данном случае, только по реальному стимайди, то пароль, я думаю не нужен) |
|
|
|