Ломальшик серверов

на 99fps уже не сидит, отьехал.
Этот "хацкер" как-то получает ркон или ставит его. Через ркон узнает пароли и т.д.

Я опишу как происходит у меня:
В общем ркона у меня не стоит, но он его сам ставит, потом либо прописывает админки либо считывает другие
Хост муарена поставил их модуль Rcon Access 1.0.1 (by MyArena.ru) все равно он ставит ркон и прописывает админки
админки грузятся с users.ini
бан стоит fb веб часть cs bans 1.3
веб хостинг lite-host

так как он имеет фул права на сервере после того как взламыет его, он считывает квары подключения к mysql и уже балуется там

Для меня загадка только одно, как он ставит ркон?

YrkinSon, И все логи пустые? И ничего нет?

YrkinSon, опять совпадение, но всех нас сближал cs bans и хостинг lite-host ... :)

я тоже на lite-host сижу. НО когда он впервый раз ломал, банлист не на lite-host был.

YrkinSon,
поставьте rcon defencer

YrkinSon,
Прописал админку- запись в логе.
Зашел под админкой- запись в логе.
Отправил ркон-команду- запись в логе.
продолжать- нет смысла..

Логи есть, он либо заходит с фул правами, и начинает прописывать другие админки, либо через rcon user считывает setinfo других админов

И еще я знаю точно что он у меня с легкостью читает users.ini так как я после взлома не заходил на сервер, он присылал мне мой пароль, и есть скрипт buy priveleges он в файле оставляет коменты типо
"YrkinSon" "parol" "abcdefijkmnopqrstu" "a" ; "Дима" - "18.10.2015 [11:31]" - "Бессрочно"
и вот он присылал данные с этими коментами, фтп пароли менял не однократно, да и sql тоже

steelzzz,
я отключил admincmd, что бы он нечего не считывал, жду пока он опять зайдет посмотреть что он еще будет делать

Здается мне появился какой то новый приватный эксплоит:-) и ломают я думаю с помощью дыры в amxmodx. Можно попробовать отключить все плагины кроме админкмд и у тех у кого стоит амиксбанс и фб и админки идут с мускула оставить. И посмотреть что буит. Может в родных amxmodx плагинах дыра.

В любой плагин можно запихнуть код, который будет выдавать админки и читать любой файл на сервере, как было в statsx shell. Сноси сервер полностью, ставь все с 0 сам и плагины ставь только те, которые проверил и сам скомпилил. Ведь любой плагин с backdoor может заменить любые стандартные плагины, ты установил 1 плагин с дырой, а после запуска сервера у тебя все стандартные плагины стали с дырой, удаляешь тот плагин, а дыра будет работать.
А для чтения файла даже плагин не нужен, через motd можно любой файл на сервере прочитать, если знаешь rcon пароль.
bydefo, дыра из-за рук, а не amxmodx, еще скажи, что в HLDS backdoor rcon пароль ставит.
XyLiGaN, что ты хочешь увидеть в логах?

BaHeK, доооо. А то что этот фрукт шатает проекты на которых сервера абсолютно с разными модами и плагинами и отдельных владельцев сервера. Везде стоит тот самый плагин с бекдором как вы говорите? Совпадение? Не думаю. Я лишь предположил. А amxmodx стоит абсолютно на всех серверах без исключения вот и все.

YrkinSon, причем тут admincmd? он ставит ркон через какой-то плагин. Мб у кого-нибудь стоит доступ к amx_rcon?

Мусолить можно до бесконечности, только, дальше нытья дело не продвинется.
Пострадавшие, если желают выявить проблему, могут собраться и составить списки: плагинов, хостингов, на которых стоят пострадавшие серверы, веб-хостингов, веб-морды, загрузчика админов и т.п. Потом уже сопоставлять и думать.
М.б. обиженка какого-нибудь веб-хостинга развлекается..

Пройдясь по бан-листам "пострадавших" сложно не обратить внимание на букет флагов, особенно, у "главных".. там, разве что, "z" не хватает.. Видимо, веб-часть не дает поставить этот флаг

georgeml, самый путевый варик, это просить хостинг тп сделать и и изучить дамп. Я думаю траблу узнают быстро.

bydefo, а может электричество виновато? Все 100% серверов используют для работы электричество, не зависимо от железа и ОС, дайте электричество вырубим от серверов, взламывать не будут 100%.
И какой нафиг дамп? Ты в дампе ожидаешь увидеть тоже самое, что хулиган в логах?

Ясно понятно. Я думаю дальше с вами разговаривать и даказывать что ли бо нет смысла. Электричество вырубить хд рассмешил:-) в этой теме я думаю разрешено предполагать и предлагать хоть какие то варианты, что я собственно и делаю. А вы только что и делаете что тролите. НаРаМаЛьНа НармАлЬнА. Что касается дампа, я думаю много чего можно узнать того чего частенько нет в логах и дебаге.

Уважаемый еще раз прочитайте для чего это я сделал

А по мнe тк, данный "хакeр" бeзобидeн, 6 страниц подряд вы пытались закрыть рот Хулигану, да при чём тут плагины да при чём тут "то" или это, в оконцовкe пришли к выводу - "плагины" и "бEкДор", какой тогда был смысл спорить с ним, eли он опять прав?

Удачи. Какие предложения, такой и ответ: бредовые предложения - бредовый ответ с сарказмом.
Нормальный ответ: виноваты плагины, при чем могут быть изменены стандартные после установки хотя бы 1 плагина с дырой
И единственное нормальное решение писал выше, могу повторить: снести все к чертям, поставить чистый сервер, metamod, amxmodx с оф сайтов и устанавливать плагины после поверки исходника, скомпиленный amxx не ставить, компилить исходник самому. Ни в дампе, ни в логах никакой информации о плагинах с бэкдурами не найти, там нет смысла смотреть, сообщений типо "backdoor.amxx я заменил plmenu.amxx" и "plmenu.amxx я измененный plmenu с бэкдуром, введи в чате /dayvseflagi и получи все флаги" там не будет.

BaHeK, в 90% случаев, администратору не удастся найти дырку даже в исходнике. Не все "бекдорщики", такаие как мастаман. Код может выглядеть совсем безобидно, со стороны админа, которые не сечет в скриптинге. Да что уж там, я сам могу не углядеть что-то, если буду смотреть чужие исходники, я не скриптер, и это могу признать. Поэтому, в первую очередь, я бы убрал все "сомнительные" плагины, потом уже перекомпилировал чистые, сток плагины, потом "доверенные" плагины.
А вообще, в первую очередь, грешил бы на руки.
Сколько случаев было, что угоняли пароль из сет_инфо, а кто-то выкладывал на fastdl всю папку amxmodx...
Вариантов, как могут навредить руки уйма.

p.s. это не в упрек, а в дополнение.

У меня такой вопрос, на сколько я понял хостинг муарена заливает на фастдл полностью весь сервер, но в браузере адресс не открывается ошибка 403 Forbidden, можно ли как нибудь еще открыть этот веб адресс, может он от туда считывает инфу?