как зная rcon сменить motd?

Тема такая: есть 2 КС 1.6 сервера, на одном физическом, доступ к FTP общий, rcon пароль одинаковый итд.
Вчера какая-то зараза прописала в motd.txt редирект на левый сайт / exe файл со свеженьким вирусом (уже отправленг куда надо, Касперский его уже включил в базу, остальные думаю до завтра отработают).
Еще из опознавательных знаков наличие server.CFG.ztmp откуда вполне могли слизать rcon_password.
Плагинов с бекдорами нет.

Вопроса 3:
1. как зная пароль можно изменить motd.txt
2. каким образом слили config? ясно что это было сделано средствами движка, только он сжимает данные в BZIP
3. какого черта в одном серве прописали motd а в другом нет при том что IP и пароли одинаковые? (конфиг слит с обоих с разницей в 10 минут, логи коннектов есть, в принципе не сложно методом исключений определить IP кулхацкера)

1. Вроде через FTP можно только
И на остальное через FTP

плагины от мастамана не стоят?

пароль FTP отличается от RCON, на FTP кроме меня никто не заходил, я логи проверял.
слили конфиг через сам сервер, а потом как-то зная ркон сменили мотд. конфиг sql и amx не трогали


я о них в курсе

какая разница "как" изменили мотд? могу сказать что поменять через rcon его можно

элементарно написать плагин типа autobuyfix который будет логировать и кикать мудаков в ответ на команду смены motd

на счет пункта 2 идей нет? понятно что вопрос №3 риторический

возможно ранее слили админки и через них сменили уже мотд даже не трогая ркон. + можно заходить через Hlproxy так что реальных айпи наврядли удастся найти также можно менять через php rcon checker даже не заходя на серв

слили через dlfile
Обновляй build сервера, проблемы не будет.

2 cs-portal
я ж ясно в 1 посте сказал что появился файл server.CFG.ztmp являющийся сжатой копией конфига, значит слили server.CFG вместе с RCON'ом который в нем, причем слили не плагином а стандартным механизмом закачки ресурсов (карт, моделей...) с сервера

поэтому добавляйте ркон в строку запуска, дорогие мои.

ркон в строке запуска - супер идея, как ночью народ свалит с сервера так и сделаю, точнее оставлю фейковый rcon а потом подумаю как по нему народ отлавливать.

что касается dlfile, пробовал - не пашет.
cmd dlfile setmaster.cfg
dlfile setmaster.cfg
setmaster.cfg на серве от дельный файл с stmaster add. На клиенте он так и не появился, на сервере setmaster.cfg.ztmp не создался, в консоле ошибок нет, в настройках cl_allowdownload "1" и cl_download_ingame "1"
либо я что-то не так делаю либо этот баг на сервере не пашет

обновляться не хочу, пока приток с мастерсерверов есть.

попробую поставить это надеюсь поможет.
P.S. заразы закачки только для зарегистрированных

На каком билде проводите эксперименты c csdeath sploit?

Ставь фикс из темы в шапке.

было еще 2 замены motd'а, последнюю попытку удалось отловить в логах
обычный rcon + motdwrite, IP Беларусь, сканер портов ничего не дал значит это не прокси а сам чебурашка
или порутаная им машина с программой-ботом.

прикол в другом.
проанализировал логи заходов игроков на сервера (у меня есть время создания server.CFG.ztmp обоих серверов, разница в 15 минут)

пытался отловить ник и IP игрока который собственно слил себе конфиг - нет такого игрока!
т.е. он коннектился но не заходил в игру...

остерегайтесь неведомой $Eаной йухни:
antidlfile_i386.so с alliedmods не стартует...
[ 5] <antidlfile_i38 badf load antidlfile_i386. v - ini - -

из этой темы

unknown unknown unknown antidl.amxx bad load
исходника нет, перекомпилировать нечего.

Вообщем полный пипец. Руки поотрывать за то что выкладывают недодел

1)motdfile motd.txt
rcon motd_write

2) Через FTP возможно.

3) Думаю ответ выше.

Пояснение было выше, читай внимательно.

+1
Также поменяли мотд на 2ух серверах, в 21.44 вчера. Плагинов с бекдорами нету. ВОт думаю каким образом они узнали ркон..

я ж уже нашел и отписал что был motd_write, а конфиг слили через dlfile

P.S. новый билд с багом - инфа о серве в избранном не всегда обновляется, теряются пакеты либо он не отвечает из-за чего /server не пашет как надо