Залили на сервер exec.cfg

странно, пересмотрел логи за 2 месяца, брутов куча, но подобран ркон не был..... да и про этот орфей все только плохо и отзываются.

Понимаю только тех кто юзает Linux, для него все запущенно в этом случае. Юзай либу, можешь сам ее ломануть, есть инструкции даже как это сделать, все что надо: редактор ресурсов. А насчет брута, так по логам ты можешь и не увидеть как пароль был подобран..

P.S: стой, тебя что тоже ломают?! oO

ну а что я стал бы писать сюда просто так? один раз было, жду повтора.

Короче я у себя со всех админов снял право ркон и квар, и ни каких проблем нету.... Они кстати много где встерчается.. смотри cmdaccess.ini
Суть такова, админ школоло может слить ркон сервера, даже если сам ломать не будет, а будет это делать ваще левый чел.
Школо может быть до ужаса деревянное как бревно, ему скажут что amx_rcon give_awp даст всем авп он сделает, а через 5 минут у тебя уже косяков в сервере 30 штук :)



Или вот еще ситуация, чисто братан просит братана мол добавь меня в админы на пар сек, я говрит одну карту и все, тот добавляет а дальше 6й пост.

Это не про меня, у меня админы имеют минимум прав, только основное abcdeij, и команда addadmin не доступна им.

Оу. Яро. Это уже становится интерестным. Что же.. мы имеем некую незафиксированную активность, после которой каким-то чудо образом на стороне сервера образуются определенная группа файлов, для тщятельно продуманного, главное наглого и беспрецедентного, рекламного задума.

Что можно предположить на основании того что админы имеют, вернее не имеют особых прав на сервере HLDS, переменная sv_allowupload установлена в значение false и вообще судя по ситуации сервер защищен от эксплоита который позволяет злоумышленнику залить файл на сервер используя баг HLDS. Возникает некая подозрительная мысль о том что кто то зашел через парадный вход в системе. Может кто угадал твой пас и ломится по SSH или ты может кому то еще дал доступ к серверу Linux?
В самой ОС куча заморочек по поводу превилегий и доступа..

да всё защищено конечно, пароль для ssh никто не имеет кроме меня, а если бы и зашёл кто, это сразу можно было бы увидеть, с ос gentoo дружу с детства. да и ssh у меня на другом порту висит, ну туда аж никак.

Так вот я тоже думаю, у тебя стоит сошка крока? Это вместо орфейчика :)
И ваще че за билд сервера, какая версия dproto. Давай кались =)

Стоит сошка от крока, билд (5787) дпрото v0.9.187

Надо ждать, ждать следующего раза. Может че и выловишь в логах. Однако если этот чудо-гений, который напихал тебе мусор, читает сейчас это, он заляжет на дно.
Однако в интернете много таких случаев как у тебя. Я постараюсь еще поискать, ведь и самому интересно.

Что за бред ты несёшь? Извини, но похоже на типичную ситуацию на многих форумах, когда человек не может помочь в решении и предлагает альтернативу.Если есть решение,то стоит рассказать,как это происходит.. а где его (эксплойт) достать - мне это не надо!
Ты если не знаешь,то просто помалкивай,я прочитал все страницы темы и выделил просьбу ответить знающим людям.Я не школьник и не хакер какой-то, играю в кс с 1999г, с бета-версии 5.2, имею свой сервер без каким-либо випок и других коммерческих жилок,а просто для приятный игры.
Ведь есть решение бага с autobuy.txt и известно,что он сратабывает путём некорректного содержания файла autobuy.txt.
Есть решение бага с colored translit,и тоже известно, что он он срабатывает путём написания в чат определённых символов.
Есть решение бага с короткими именами, которые неверно отображаются в amx меню.
Поэтому целесообразно описать проблему, тем самым в большую степень помочь владельцам серверов,чем злоумышленникам и значительно сэкономив время первых,не теряя его на поиск бэкдоров в плагинах, сменой паролей фтп и ркон-паролей.У меня никогда не стоял ркон-пароль, внимательно просматривал все логи (включено полное ведение для статистики),АБСОЛЮТНО все плагины были отредактированы и скомпелированы мной (изменял перевод,также переводил все параметры register_comcmd), тщательно отредактирова файл cmdaccess, и я точно знаю,что права на изменения админами сvar и прочее имеются только у меня и моей админкой никто не пользуется.
Я ещё раз говорю,что тут советуют создать файл exec.cfg в папке метамода, и неизвестно,могут ли злоумышленники закинуть файл в другую папку? с другим названием? Чуть ли не каждый плагин имеет свой конфиг.. И понятное дело,что зная ркон,можно хоть что насоздавать и поменять..
Поэтому ещё раз,уважаемые форумчане, если кто знает,отпишитесь,пожалуйста.
P.S. Мне правда неважно и не нужно знать,как это сделать.. Мне нужно знать,как это происходит и поможет ли выключение sv_allowupload?

ck001ru, вроде как помогает, чет я уже не помню даже. Так же можно самостоятельно создать пустые файлы - перезаписать их не получится.
Варианты решения - патченная либа от крока, плагин на орфее, самостоятельное отслеживание всей этой ерунды.

Что вы хотите то еще? чтобы за вас это делали что ли? В теме достаточно информации раз защиту сделали уже. Если хотите сделать свою защиту тогда перечитывайте тему делайте выводы и делайте защиту.

Мы хотим понять баг это новая дырка или та же старая. Потому что автор темы сказал, что у него было такое только один раз, после этого он поставил якобы патчь крока, но все равно его не беспокоили больше ерундой с конфигами. Другой человек недавно нашел у себя новые плагины, конфиги и даже файл INI через который эти плагины грузились на сервере, хотя он заплатку крока поставил еще в том году.

Я ведь писал на 15 странице плагин, который каждые 2 мин проверяет конфиги и удаляет. Исходник есть, так что подредактировать названия тех самых конфигов можно. На орфее лучше, конечно, но ведь его нужно устанавливать :)

zippel, заплатка фиксит конкретную багу. Как это подгрузили вам на сервер мы явно не можем знать и данных у вас по этому вопросу больше. При чем тут логи дропов фейковых игроков - вообще не ясно.
Вариантов как могли залить файлы очень много. Тот же самый психостатс - его если не удалили.
Баги и заплатки собраны в одно сообщение. Если уверены что это у вас новое что-то, ну создайте отдельную тему тогда.
Если нет желания ставить пропатченную сошку - есть вариант на орфее или какие-то подобные методы защиты. Вас интересуют аналоги защиты что ли? Если вам не подходит то что есть - сделайте что-то для себя. Плагин, который будет за файлами следить, за рконом, за плагинами. Большая часть подобных вопросов заканчивается "ой, фтп пароль слили", "ой, плагин с бекдором" и т.п. А тут собственно вы защиту не ставили - могли чего угодно назаливать, потом плагины поподменять и т.п.

странный способ однако, но это же не решение проблемы.

все короче ясно.. скажу вам одно, после дропов упал сервер с ошибкой во время вызова процедуры (не успел заметить какой именно), виновником была либа fakemeta.

Два разных варианта решения проблемы вам дали еще пол года назад. Если они не подходят то данных в теме достаточно чтобы сделать что-то своё (раз уж их хватило пол года назад - меньше их не стало)

как это связано с текущей проблемой не понятно