Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек
24-апр
10-апр
11-апр

> Важная информация

Перед тем как создать тему или задать вопрос, ознакомьтесь с данной темой, там собраны наиболее распространенные уязвимости и способы устранения.
Так же не поленитесь воспользоваться поиском, вполне возможно, что ваш вопрос уже поднимался на форуме.
При создании новой темы уделите внимание ее названию, оно должно кратко описывать суть вашего вопроса/проблемы. Все вновь созданные темы с названиями "Помогите", "Объясните", "Подскажите" и т.д. будут удалены, а их авторы наказаны.
3 страниц V   1 2 3

Взлом AmxBans 6 GM 1.6 через Shell

, Есть ли защита?
Статус пользователя Yaroslav
сообщение 26.5.2015, 22:54
Сообщение #21


Стаж: 10 лет

Сообщений: 296
Благодарностей: 247
Полезность: 1084

Цитата(ex3m777 @ 26.5.2015, 23:52) *
Yaroslav, он получил скорее всего данные от базы amxbans, а теперь представь что он может с ней делать, там все пароли, всех админов хранятся, все SteamID и тп
Как Я понял, то соль в дпрото не прописана

Можно поподробнее, что за соль?
Текущий конфиг:
Скрытый текст

Код
Game_Name =[ NoCheat Server ]
LoggingMode = 2
cid_HLTV = 5
cid_NoSteam47 = 5
cid_NoSteam48 = 5
cid_Steam = 1
cid_SteamPending = 9
cid_RevEmu = 1
cid_SC2009 = 1
cid_OldRevEmu = 1
cid_AVSMP = 1
cid_Setti = 3
cid_SSE3 = 3
SC2009_RevCompatMode = 1
SteamEmuCompatMode = 1
OldEstCompatMode = 0
IPGen_Prefix1 = 3
IPGen_Prefix2 = 0
Native_Prefix1 = 0
RevEmu_Prefix1 = 4
OldRevEmu_Prefix1 = 1
SteamEmu_Prefix1 = 2
AVSMP_Prefix1 = 5
Setti_Prefix1 = 6
SSE3_Prefix1 = 7
DisableNativeAuth = 0
ServerInfoAnswerType = 2
HLStatsPlayerIdFix = 0
ExportVersion = 1
HLTVExcept_IP = 46.174.48.32
FakePlayers_AntiReconnect = 1
FakePlayers_BanTime = -1
cid_RevEmu2013 = 1
cid_SteamEmu = 1
cid_SXEI = 1
EnableSXEIdGeneration = 0
SC2009_Prefix1 = 0
RevEmu2013_Prefix1 = 0
SXEI_Prefix1 = 0
Exploits_CheckDownloads = 1
Exploits_DisableUploads = 1
ThreatsLoggingMode = 0
SpreadUserInfoColors = 0
SteamIdHashSalt =

Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя ex3m777
сообщение 26.5.2015, 22:55
Сообщение #22


Стаж: 11 лет
Город: Москва

Сообщений: 2037
Благодарностей: 1135
Полезность: 968

Меценат Меценат

ex3m777, изучай
Защита от подмены на определённые SteamID


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя Yaroslav
сообщение 26.5.2015, 23:02
Сообщение #23


Стаж: 10 лет

Сообщений: 296
Благодарностей: 247
Полезность: 1084

Цитата(ex3m777 @ 26.5.2015, 23:55) *

Спасибо, не видел эту тему Сейфити. Попробую, может поможет.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Yaroslav
сообщение 26.5.2015, 23:23
Сообщение #24


Стаж: 10 лет

Сообщений: 296
Благодарностей: 247
Полезность: 1084

Еще информация: сервер, распространяющий троян, стоит у этого товарища дома на своем статическом IP:
Скрытый текст

90.157.6.58:27014


Отредактировал: Yaroslav, - 26.5.2015, 23:25
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя stardock
сообщение 27.5.2015, 0:20
Сообщение #25


Стаж: 11 лет

Сообщений: 222
Благодарностей: 94
Полезность: 78

какой еще троян? это лапша повешанная на уши, обычный сплоит php скрипта.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя Yaroslav
сообщение 27.5.2015, 1:09
Сообщение #26


Стаж: 10 лет

Сообщений: 296
Благодарностей: 247
Полезность: 1084

Цитата(stardock @ 27.5.2015, 1:20) *
какой еще троян? это лапша повешанная на уши, обычный сплоит php скрипта.

Ну там может быть и dll'ка с asi файлом, не суть.

У меня остается 1 вопрос. Как происходит клонирование админа, прописанного по нику/паролю, не зная пароля?

Отредактировал: Yaroslav, - 27.5.2015, 1:11
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя [WPMG]PRoSToTeM@
сообщение 27.5.2015, 2:33
Сообщение #27
Стаж: 11 лет

Сообщений: 1514
Благодарностей: 1025
Полезность: 725

На сервер пока не заходил, но пригласив на свой сервер можно получить:
1) AuthID и при желании AuthString или тикет
2) UserInfo и в частности "пароль от админки"
Затем зайти на целевой сервер под "данными админа" и через ркон получить данные от базы если они записаны в текстовом файле или кварах.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 2 раз
   + Цитировать сообщение
Статус пользователя Metal Messiah
сообщение 27.5.2015, 3:12
Сообщение #28


Иконка группы

Стаж: 11 лет

Сообщений: 2399
Благодарностей: 1462
Полезность: 755

HostGame.cf
Цитата
Заходит на сервер, узнает данные от базы и дальше дело техники..

ИМХО надо не давать админам доступ к CVAR
для параноиков перекомпилить amxbans заменив название кваров, относящихся к логину/паролю БД

Если баг действительно в веб части могу посмотреть, быстро не обещаю и нужны доступы либо дамп файлов, бд и лог взлома


Полезные публикации - ссылки у меня в профиле. Ссылка на плагин против спама на сервере StopServerSpam там же.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя [WPMG]PRoSToTeM@
сообщение 27.5.2015, 3:24
Сообщение #29
Стаж: 11 лет

Сообщений: 1514
Благодарностей: 1025
Полезность: 725

Цитата(Metal Messiah @ 27.5.2015, 4:12) *
для параноиков перекомпилить amxbans заменив название кваров, относящихся к логину/паролю БД

cvarlist же.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Yaroslav
сообщение 27.5.2015, 3:40
Сообщение #30


Стаж: 10 лет

Сообщений: 296
Благодарностей: 247
Полезность: 1084

Цитата([WPMG]PRoSToTeM@ @ 27.5.2015, 3:33) *

На сервер пока не заходил, но пригласив на свой сервер можно получить:
1) AuthID и при желании AuthString или тикет
2) UserInfo и в частности "пароль от админки"
Затем зайти на целевой сервер под "данными админа" и через ркон получить данные от базы если они записаны в текстовом файле или кварах.


Спасибо, это вполне понятно. На своем сервере он получил значения setinfo конфига. Зашел на "целевой" сервер с правами данного админа (логин/пароль).
А дальше его встретило: rcon "", rcon_password "" - пустые. amx_cvar, amx_plugincvarmenu, amx_cvarmenu на флаги, которых нет ни у кого.
Доступ к БД банса прописан только в конфиге Фрешбанса и в sql.cfg на сервере.
Пароли к БД/вебморде банса разные. Значит он получил доступ к БД Банса и изменил хеш сумму поля пароля. Таким образом сменив пароль к морде банса. (в логах банса не было изменения пароля данного админа, значит смена произошла из БД)
Как он получил доступ к sql.cfg?

Отредактировал: Yaroslav, - 27.5.2015, 3:42
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя [WPMG]PRoSToTeM@
сообщение 27.5.2015, 3:53
Сообщение #31
Стаж: 11 лет

Сообщений: 1514
Благодарностей: 1025
Полезность: 725

Yaroslav, amx_rcon же.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя shaid
сообщение 27.5.2015, 3:58
Сообщение #32


Стаж: 12 лет

Сообщений: 1012
Благодарностей: 432
Полезность: 835

] amx_cvar amx_sql_host; amx_cvar amx_sql_user; amx_cvar amx_sql_pass
[AMXX] Cvar "amx_sql_host" is "***"
[AMXX] Cvar "amx_sql_user" is "***"
[AMXX] Cvar "amx_sql_pass" is "***"
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя Yaroslav
сообщение 27.5.2015, 4:08
Сообщение #33


Стаж: 10 лет

Сообщений: 296
Благодарностей: 247
Полезность: 1084

Цитата([WPMG]PRoSToTeM@ @ 27.5.2015, 4:53) *

Yaroslav, amx_rcon же.

amx_rcon, amx_showrcon на флаги которых нет ни у кого.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
XyLiGaN
сообщение 27.5.2015, 4:38
Сообщение #34
Стаж: 11 лет
Город: Югорск

Сообщений: 11668
Благодарностей: 6450
Полезность: 1052

Меценат Меценат

Yaroslav, Этот тип ещё и деньги предлагает за троян =D
Инфа



И всё, больше мы с ним не пересекались =)
Информация по Скайпу.
Логин: semenov-alekse1

Его реальный IP: адрес: 185.11.229.241

Администраторов, если есть возможность забанить этого типа, если он тут есть или бывал, то было бы очень хорошо.
А по теме, вот что.
1. У меня все админки через users.ini и только лишь Steam-игрокам, а также выставлены по Steam ID т.е. толку от веб-морды = 0 (только снимать/редактировать баны).
2.Все файлы у меня скачиваются, только с быстрой закачки, а также стоят 2-3 квара на запрет закачки файлов на сервер. Ну и ни у кого нет флага доступа "l", есть, он только у меня. Также стоит "уникальная" SteamIdHashSalt + выставлены отдельные префиксы, только для Steam игроков.
Так что, я думаю, что чтобы я заходил или же нет, то толку было бы 0 :)
Я уже в это время спал, когда звонил ты мне, так что как с работы приеду, отпишусь тебе или перезвоню.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Yaroslav
сообщение 27.5.2015, 5:03
Сообщение #35


Стаж: 10 лет

Сообщений: 296
Благодарностей: 247
Полезность: 1084

Цитата(XyLiGaN @ 27.5.2015, 5:38) *
Yaroslav, Этот тип ещё и деньги предлагает за троян =D
Инфа



И всё, больше мы с ним не пересекались =)
Информация по Скайпу.
Логин: semenov-alekse1

Его реальный IP: адрес: 185.11.229.241

Администраторов, если есть возможность забанить этого типа, если он тут есть или бывал, то было бы очень хорошо.
А по теме, вот что.
1. У меня все админки через users.ini и только лишь Steam-игрокам, а также выставлены по Steam ID т.е. толку от веб-морды = 0 (только снимать/редактировать баны).
2.Все файлы у меня скачиваются, только с быстрой закачки, а также стоят 2-3 квара на запрет закачки файлов на сервер. Ну и ни у кого нет флага доступа "l", есть, он только у меня. Также стоит "уникальная" SteamIdHashSalt + выставлены отдельные префиксы, только для Steam игроков.
Так что, я думаю, что чтобы я заходил или же нет, то толку было бы 0 :)
Я уже в это время спал, когда звонил ты мне, так что как с работы приеду, отпишусь тебе или перезвоню.


Спасибо большое старик :) Да, это именно он (по логину в скайпе).
Былая целая новелла из серии "Шерлок Холмс" по выяснению того как меня ломанули:
1. Увидел смену пароля к морде банса - подумал: Шелл поймал хозяин сервера, так как я его точно не ловил)
2. Увидел баны от хозяина сервера в бансе, посмотрел IP взломщика, по нему все, что он делал в логах.
3. Нашел сообщение, похожее на скайп, после сообщений о продаже "способа взлома", увидел, что человек с таким именем добавился ко мне в вк. Сам набрал ему в скайп :)
4. Вытягивал из него пару часов как он это сделал, так как бесплатно он рассказывать не хотел.
5. От него выяснил, что заманил хозяина сервера на свой сервер и там все у него спер (setinfo) :)
6. Выяснил, что без заманивания он ничего сделать не может и это не шелл.
7. Понял, как он склонировал заманенного админа - хозяина сервера.
8. Возможно, через открытые amx_cvar (сейчас я все перебрал по-новой) он спер доступ к БД банса, точнее не он сам, а его утилита, в которой он только умеет нажимать кнопку "start".
9. Возможно через эту же утилиту он клонирует userid любого зашедшего админа, беря пароль из БД, как хеш сумму числа поля с паролем и также меняет поле "password" таблицы "amx_webadmins".

Подожду его, погляжу, сможет ли снова ломануть и верна ли моя цепочка расследования.))

Отредактировал: Yaroslav, - 27.5.2015, 5:05
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
XyLiGaN
сообщение 27.5.2015, 5:08
Сообщение #36
Стаж: 11 лет
Город: Югорск

Сообщений: 11668
Благодарностей: 6450
Полезность: 1052

Меценат Меценат

Yaroslav, Можешь, его ещё раз ко мне отправить =D
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Yaroslav
сообщение 27.5.2015, 10:59
Сообщение #37


Стаж: 10 лет

Сообщений: 296
Благодарностей: 247
Полезность: 1084

Конец истории. После применения всех советов данной темы взлом повторный стал невозможным. Самым действенным и результирующим всю работу было дать админки по реальному стимайди/паролю.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
XyLiGaN
сообщение 27.5.2015, 11:01
Сообщение #38
Стаж: 11 лет
Город: Югорск

Сообщений: 11668
Благодарностей: 6450
Полезность: 1052

Меценат Меценат

Yaroslav, Пароль, можешь убрать, он не актуален)
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя georgeml
сообщение 27.5.2015, 11:15
Сообщение #39
Стаж: 10 лет

Сообщений: 1467
Благодарностей: 439
Полезность: 423

Цитата(XyLiGaN @ 27.5.2015, 12:01) *
Yaroslav, Пароль, можешь убрать, он не актуален)

Ну почему же... Некоторым помогает, как защита от "младшего брата", который играет, пока ты в институте (в школе, на работе, умер)..
А еще помогает проверить работу своих админов со стороны, зайдя без прав и с другим ником

Отредактировал: georgeml, - 27.5.2015, 11:17
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
XyLiGaN
сообщение 27.5.2015, 11:21
Сообщение #40
Стаж: 11 лет
Город: Югорск

Сообщений: 11668
Благодарностей: 6450
Полезность: 1052

Меценат Меценат

georgeml, Ну это уже зависит от того, если ли младший брат и какой собственно сам сервер.
Обычно, раньше ставили пароль, только на связку, вместе с ником, а если доп защита нужна была, то уже и на IP со Steam ID. Но, а так как админки, выдаются сейчас в данном случае, только по реальному стимайди, то пароль, я думаю не нужен)
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
3 страниц V   1 2 3
 
Ответить в данную темуНачать новую тему
 
0 пользователей и 1 гостей читают эту тему: