Сломали админку, перебанили весь сервер, хелп ми плиз!

oxoTHuk., я полностью папку cstrike копировал на фастдл, ранее все кфг удалял, а в последний раз забыл это сделать, что и привело к таким последствиям( то есть там полностью была инфа и к БД и к конфигам сервера.

Profan, оправдал ник

Т.е. злыдень пошел в БД, раскодировал мд5 пароль админа и пошел всех забанил..

georgeml, когда читал его сообщение, сначала пришел к выводу что он с клиента cstrike залил хД
Profan, еще раз объясни, как злоумышленник зашел под твоим логином и паролем. То, что одну уязвимость нашли - это хорошо. Но как сказал georgeml, и я выше - серверные конфиги могут дать доступ к БД, но пароль твоей учетки они не раскадируют из md5 (если не 123456) пароль, конечно.

oxoTHuk., Кстати верно, но раскодировать можно, помню это делал раньше. Но действительно вопрос остается скорее всего открытым... Думаю.....

Profan, тут думать нечего - ты слил свой пароль кому-то. Раскодировать md5? Можно, да, по предпоготовленной БД.
Ты понимаешь как работает алгоритм шифровки?
Любое значение будет всегда соответствовать хешу.
123 = один хеш
312 = второй и т.д.
Поэтому небезопасными паролями считаются 123456 и ему подобные.
В твоем случае, два варианта - либо легкий пароль, который можно "расшифровать" (именно в кавычках) любым онлайн-дешифратором, либо ты слил пароль. Я склоняюсь ко второму варианту.

Так amxbans в открытом виде хранит пароль или там что-то иное? А не, там чёто другое.

[WPMG]PRoSToTeM@, если мне память не изменяет, 5.0 хранил в открытом, а 5.1 уже пофиксили. Но это было кучу лет назад хД

Как такое в голову может прейти? А как же папка addons - я так понимаю - все там же, а значит "плагины"/"Ключи" от платных плагинов - в открытом доступе? Что же с людьми творится-то..
Хотя я знаю откуда это пошло:

oxoTHuk., в users.ini был пароль((( а файл был доступен через фастдл

ОМГ, так ты так и не ответил, админки берутся из файла или БД?
Если из файла, да..., епикфейл. Если из БД, еще больший фейл, зачем дублировать такую инфу? хДДДД
Короче все ясно, на лицо факт пренебрежения безопасностью.

oxoTHuk., больше года на админке не менял пароль как изначально залил в users.ini когда тестил, так и не убрал от туда, а файл этот не смотрел, так как админки из БД брались, просто пароль не когда на АДМ не менял, setinfo _pw 7890

Profan, с таким паролем не советую давать сильно большие привилегии на аккаунт.

georgeml, В следующий раз пиши не "немного фоотопа" а "Немного желчи" что бы дельного сказал, так нет же!

georgeml,
а я только это заметил у автора топика на сайте:
Выявление бэкдоров в плагинах сервера.

Что вам еще дать? может быть кусок блэкдора? чтобы наверняка?


+1

Создание игровых серверов Couner - Strike 1.6 "с любым модом"
Установка, настройка, оформление оригинального дизайна "Банлиста"
Установка, настройка любых античит систем, модулей, плагинов, модов и т.д.
Создание игрового сайта, web-статистики, PsychoStats, HLstatsX и т.д.
Установка GameAP панели управления для игровых серверов на VDS
Перенос банлистов, баз данных, устранение проблем с сокетами Linux
Выявление бэкдоров в плагинах сервера.

ПРОСТО УБИЛО... ОСОБЕННО ПОСЛЕДНЕЕ..

Дык, а соль тогда зачем? Любой онлайн дешифратор сфейлится. Не говоря уже о динамических вариантах или измененной формуле хеширования.

RedL1ne, а соль то тут причем? о0 Мы о амхбанс говорим сейчас. Тут солью и не пахнет.

О, так там ее нет? Как все плохо... Можно было бы и в открытом виде хранить с тем же результатом. Почему тогда за годы пользования никто не прикрутил... открытый код же...

Никогда не пользовался AmxBans(