Русское сообщество по скриптингу

Code By Zeal (новый сплойт)

Все, что касается защиты серверов от различного рода атак, эксплойтов, бэкдуров и т.д.
Правила форума
1. Запрещено материться и оскорблять других участников форума.
2. Запрещен флуд, оффтоп, дабл постинг во всех разделах форума, кроме раздела "Болтовня".
3. Запрещено взламывать сайт/форум или наносить любой вред проекту.
4. Запрещено рекламировать другие ресурсы.
5. Запрещено создавать темы без информативного названия. Название темы должно отображать ее смысл.

Code By Zeal (новый сплойт)

Сообщение 2391063 » 28 июн 2012, 13:54

Увидел такую тему, мой сервер досили каким то "code by Zeal", как можно исправить данную тему?
Данный прикол работает , как hlds fake player , нагружает сервер фейковыми игроками, ростёт пинг , жуткие лаги.

Нашёл пока 1 решение, сделать в dproto.cfg cid_nosteam47 5 и cid_nosteam48 5.

Но онлайна будет меньше, есть ещё варианты?
pfffffffff
Аватара пользователя
2391063
 
Сообщения: 469
Зарегистрирован: 23 сен 2011, 14:54
Забанен
Благодарил (а): 126 раз.
Поблагодарили: 82 раз.
Опыт программирования: Меньше месяца
Языки программирования: Counter-Strike 1.6

Re: Code By Zeal (новый сплойт)

Сообщение mazdan » 28 июн 2012, 15:29

И кстати dproto все таки сечет таких
Reason: Fake client. Connection was in idle state for 4 seconds.

Хотя, неприятная, шляпа. И так видно.
Но конечно надо бы побольше инфы. Хотя бы логи.
я не пишу плагины на заказ!
Аватара пользователя
mazdan
 
Сообщения: 739
Зарегистрирован: 12 окт 2010, 14:44
Благодарил (а): 121 раз.
Поблагодарили: 211 раз.
Опыт программирования: Около года
Языки программирования: Counter-Strike 1.6

Re: Code By Zeal (новый сплойт)

Сообщение Retro-kolt Lincoln » 28 июн 2012, 21:22

2391063 писал(а):p.s логи одного посыка)

[pawn]
  1. 06/24/2012 - 12:25:47: "(2)Code by ZeaL<99><>" connected, address "178.210.204.135:27000"

  2. Dropped (2)Code by ZeaL from server

  3. Reason: Client sent 'drop'

  4. L 06/24/2012 - 12:25:47: [DPROTO]: Client 4 - Set AuthIdType 8 [dproto]; pClient = 0xf580aaa8

  5. L 06/24/2012 - 12:25:47: "(2)Code by ZeaL<100><>" connected, address "109.195.35.252:27000"

  6. L 06/24/2012 - 12:25:47: "Bamber[56]rus<10>" killed "Champ1<16>" with "knife"

  7. L 06/24/2012 - 12:25:47: [DPROTO]: Client 5 - Set AuthIdType 8 [dproto]; pClient = 0xf580f990

  8. L 06/24/2012 - 12:25:47: "(3)Code by ZeaL<101><>" connected, address "109.87.246.231:27000"

  9. L 06/24/2012 - 12:25:48: [DPROTO]: Client 7 - Set AuthIdType 8 [dproto]; pClient = 0xf5819760

  10. L 06/24/2012 - 12:25:48: "(4)Code by ZeaL<102><>" connected, address "46.99.3.151:5476"

  11. L 06/24/2012 - 12:25:48: [DPROTO]: Client 11 - Set AuthIdType 8 [dproto]; pClient = 0xf582d300

  12. L 06/24/2012 - 12:25:48: "(5)Code by ZeaL<103><>" connected, address "178.91.91.155:27000"

  13. L 06/24/2012 - 12:25:48: [DPROTO]: Client 13 - Set AuthIdType 8 [dproto]; pClient = 0xf58370d0

  14. L 06/24/2012 - 12:25:48: "(6)Code by ZeaL<104><>" connected, address "178.122.200.145:27000"

  15.  

  16. Dropped (4)Code by ZeaL from server

  17. Reason: Fake client. Connection was in idle state for 4 seconds.

  18. L 06/24/2012 - 12:27:36: [DPROTO]: Client 4 - Set AuthIdType 8 [dproto]; pClient = 0xf580aaa8

  19. L 06/24/2012 - 12:27:36: "(2)Code by ZeaL<241><>" connected, address "188.26.171.225:27000"

  20. L 06/24/2012 - 12:27:36: [DPROTO]: Client 12 - Set AuthIdType 8 [dproto]; pClient = 0xf58321e8

  21. L 06/24/2012 - 12:27:36: "(4)Code by ZeaL<242><>" connected, address "92.247.242.85:27000"

  22. L 06/24/2012 - 12:27:36: [DPROTO]: Client 14 - Set AuthIdType 8 [dproto]; pClient = 0xf583bfb8

  23. L 06/24/2012 - 12:27:36: "(6)Code by ZeaL<243><>" connected, address "46.99.63.96:29844"

  24. Dropped (3)Code by ZeaL from server

  25. Reason: Fake client. Connection was in idle state for 4 seconds.

  26. L 06/24/2012 - 12:27:37: [DPROTO]: Client 1 - Set AuthIdType 8 [dproto]; pClient = 0xf57fbdf0

  27. L 06/24/2012 - 12:27:37: "(3)Code by ZeaL<244><>" connected, address "88.204.135.200:27000"

  28. Dropped (5)Code by ZeaL from server

  29. Reason: Fake client. Connection was in idle state for 4 seconds.

  30. L 06/24/2012 - 12:27:37: [DPROTO]: Client 11 - Set AuthIdType 8 [dproto]; pClient = 0xf582d300

  31. L 06/24/2012 - 12:27:37: "(5)Code by ZeaL<245><>" connected, address "94.27.113.55:27000"
[/pawn]

Ну вот, я же говорил, ну тут не хл прокси, а ботнет. А сплоит то один и тот же.
Предлагаю услуги гаранта. Написание плагинов на заказ.
Статус:
на заслуженном отдыхе
Отзывы: Нажми
Обратиться ко мне: Нажми

- - - - - - - - - - - - - - - -
Если ваше ЛС было проигнорировано мною, знайте, оно мне не интересно.
Аватара пользователя
Retro-kolt Lincoln
 
Сообщения: 1283
Зарегистрирован: 28 авг 2010, 19:16
Благодарил (а): 321 раз.
Поблагодарили: 581 раз.
Опыт программирования: Больше трех лет
Языки программирования: ╚►Counter-Strike 1.6

Re: Code By Zeal (новый сплойт)

Сообщение noo00oob » 28 июн 2012, 21:29

Retro-kolt Lincoln писал(а):Ну вот, я же говорил, ну тут не хл прокси, а ботнет. А сплоит то один и тот же.

Да что же это такое.
Один фрукт, страдающий недостачей времени, нашел его ради меня любимого и писал(а):
noo00oob, зачем родился на свет вообще? срать на форумах это понятно.. больше изъеба не найти как бэ? а то, что ты недоношенная скотина, сдерживайся, детка.
noo00oob
 
Сообщения: 1061
Зарегистрирован: 09 янв 2010, 21:52
Благодарил (а): 258 раз.
Поблагодарили: 394 раз.
Опыт программирования: Больше трех лет
Языки программирования: Counter-Strike 1.6
Half-Life

Re: Code By Zeal (новый сплойт)

Сообщение Retro-kolt Lincoln » 28 июн 2012, 21:41

noo00oob писал(а):
Retro-kolt Lincoln писал(а):Ну вот, я же говорил, ну тут не хл прокси, а ботнет. А сплоит то один и тот же.

Да что же это такое.

Слово Сплоит произошло от слова Эксплоит (его укороченное значение).
Эксплойт, эксплоит, сплоит (англ. exploit, эксплуатировать) — компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DoS-атака).
Предлагаю услуги гаранта. Написание плагинов на заказ.
Статус:
на заслуженном отдыхе
Отзывы: Нажми
Обратиться ко мне: Нажми

- - - - - - - - - - - - - - - -
Если ваше ЛС было проигнорировано мною, знайте, оно мне не интересно.
Аватара пользователя
Retro-kolt Lincoln
 
Сообщения: 1283
Зарегистрирован: 28 авг 2010, 19:16
Благодарил (а): 321 раз.
Поблагодарили: 581 раз.
Опыт программирования: Больше трех лет
Языки программирования: ╚►Counter-Strike 1.6

Re: Code By Zeal (новый сплойт)

Сообщение soffrick » 28 июн 2012, 21:44

Retro-kolt Lincoln писал(а):
noo00oob писал(а):
Retro-kolt Lincoln писал(а):Ну вот, я же говорил, ну тут не хл прокси, а ботнет. А сплоит то один и тот же.

Да что же это такое.

Слово Сплоит произошло от слова Эксплоит (его укороченное значение).
Эксплойт, эксплоит, сплоит (англ. exploit, эксплуатировать) — компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DoS-атака).

Тролльканул. noo00oob не глупый, чтобы не знать этого... И кстати в его сообщении подразумевался другой смысл
Аватара пользователя
soffrick
 
Сообщения: 403
Зарегистрирован: 18 мар 2012, 15:23
Забанен
Благодарил (а): 25 раз.
Поблагодарили: 59 раз.

Re: Code By Zeal (новый сплойт)

Сообщение noo00oob » 28 июн 2012, 21:49

Retro-kolt Lincoln писал(а):
noo00oob писал(а):
Retro-kolt Lincoln писал(а):Ну вот, я же говорил, ну тут не хл прокси, а ботнет. А сплоит то один и тот же.

Да что же это такое.

Слово Сплоит произошло от слова Эксплоит (его укороченное значение).
Эксплойт, эксплоит, сплоит (англ. exploit, эксплуатировать) — компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DoS-атака).

Ага. Да давайте все так сокращать. Сплоит сплуатирует ерваки упых зеров, ни ногут ечего елать. Главное википедию побольше таким вот бредом засрать, чтобы было откуда цитаты брать.
Один фрукт, страдающий недостачей времени, нашел его ради меня любимого и писал(а):
noo00oob, зачем родился на свет вообще? срать на форумах это понятно.. больше изъеба не найти как бэ? а то, что ты недоношенная скотина, сдерживайся, детка.
noo00oob
 
Сообщения: 1061
Зарегистрирован: 09 янв 2010, 21:52
Благодарил (а): 258 раз.
Поблагодарили: 394 раз.
Опыт программирования: Больше трех лет
Языки программирования: Counter-Strike 1.6
Half-Life

Re: Code By Zeal (новый сплойт)

Сообщение DJ_WEST » 29 июн 2012, 09:38

Сниффер включайте и собирайте пакеты, потом выкладывайте. Судя по логам: одинаковые имена и порт везде 27000, можно воспользоваться этим для костыля.
Не пишите мне в ЛС: если вам нужна помощь на бесплатной основе. Любые вопросы на форум.
Аватара пользователя
DJ_WEST
Администратор
 
Сообщения: 3641
Зарегистрирован: 22 авг 2009, 00:38
Благодарил (а): 48 раз.
Поблагодарили: 2209 раз.
Опыт программирования: Больше трех лет
Языки программирования: Counter-Strike 1.6
Counter-Strike: Source
Left 4 Dead
Left 4 Dead 2

Re: Code By Zeal (новый сплойт)

Сообщение noo00oob » 29 июн 2012, 09:42

DJ_WEST писал(а):Судя по логам: одинаковые имена и порт везде 27000

L 06/24/2012 - 12:27:36: "(6)Code by ZeaL<243><>" connected, address "46.99.63.96:29844"
Один фрукт, страдающий недостачей времени, нашел его ради меня любимого и писал(а):
noo00oob, зачем родился на свет вообще? срать на форумах это понятно.. больше изъеба не найти как бэ? а то, что ты недоношенная скотина, сдерживайся, детка.
noo00oob
 
Сообщения: 1061
Зарегистрирован: 09 янв 2010, 21:52
Благодарил (а): 258 раз.
Поблагодарили: 394 раз.
Опыт программирования: Больше трех лет
Языки программирования: Counter-Strike 1.6
Half-Life

Re: Code By Zeal (новый сплойт)

Сообщение hmn3r^Ist » 29 июн 2012, 19:00

Недавно новый сплоит выложили на дотнете, помоему еще не пофикшен.у меня ушло 2 секунды на декомпиляцию.. по видимому просто кто-то переписал на прокси, и сменил ники...
Аватара пользователя
hmn3r^Ist
 
Сообщения: 900
Зарегистрирован: 19 апр 2012, 16:24
Откуда: Petersburg
Благодарил (а): 82 раз.
Поблагодарили: 158 раз.

Re: Code By Zeal (новый сплойт)

Сообщение Lip » 28 июн 2013, 10:04

Вот какой адрес меня атачит "Code by ZeaL<1><STEAM_ID_LAN><>" connected, address "31.200.239.201:27001"
И вместе с этими сообщениями рождаются одни и те же файлы:
exec.cfg
main.cfg
prefix_cs.cfg
prefix_de.cfg
Распиханы по 2 папкам в амхмоде
cstrike\addons\amxmodx\configs\maps - её тут вообще не должно быть
cstrike\addons\metamod\

все файлы содержат один и тот же текст:
Код: Выделить всё
motdfile motd.txt
motd_write Вы должны зарегистрироваться, чтобы видеть ссылки.

amxx pause rcon_defencer.amxx

rcon_password zhenya

видимо вирус раздают.

Удаляешь эти файлы, опять появляются.
Очевидно троян где то, ищу сижу.
Get in Position and wait for my go
Аватара пользователя
Lip
 
Сообщения: 20
Зарегистрирован: 15 фев 2011, 21:35
Благодарил (а): 7 раз.
Поблагодарили: 2 раз.
Языки программирования: Counter-Strike 1.6

Пред.След.

Вернуться в Безопасность и защита серверов

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6