Русское сообщество по скриптингу

Взломали, непонятно как.

Все, что касается защиты серверов от различного рода атак, эксплойтов, бэкдуров и т.д.
Правила форума
1. Запрещено материться и оскорблять других участников форума.
2. Запрещен флуд, оффтоп, дабл постинг во всех разделах форума, кроме раздела "Болтовня".
3. Запрещено взламывать сайт/форум или наносить любой вред проекту.
4. Запрещено рекламировать другие ресурсы.
5. Запрещено создавать темы без информативного названия. Название темы должно отображать ее смысл.

Взломали, непонятно как.

Сообщение specific » 29 июн 2012, 19:41

Здравствуйте знатоки, прошу помощи.
Сервер стоит на VDS. Установлен AMXX, metamod ну и стандартные набор.
Из плагинов следующие:
afk_manager.amxx
GHW_Chat_Text.amxx
hpk.amxx
Resetscore.amxx
ad_manager.amxx
;amx_gag_ip.amxx
votebans_wtf.amxx
;game_destroyer.amxx
restmenu.amxx
statsx_shell.amxx
block_wallhack.amxx
gamemenu.amxx
hide_cvars.amxx

Ко всем плагинам (кроме 1-2 быть может) есть исходники.
Сам особо в этом не секу, поэтому каждый исходник перед компиляцией не проверял, но половина плагинов скачана отсюда, из раздела "проверенные".
Суть проблемы такова, на сервере появился интересные алдмин (и даже не 1).
Ну он как бы сидел и тупо всех банил и говорил что сервер переехал.
В логах есть следующее:

L 06/29/2012 - 04:15:48: -------- Mapchange to de_dust2_2x2 --------
L 06/29/2012 - 04:15:49: [amxbans_core.amxx] Login: "xml<19><STEAM_0:1:18586749><>" became an admin (account "xml") (access "abcdefghijklmnopqrstuz") (address "178.140.65.28") (nick "xml") (static 0)
L 06/29/2012 - 04:15:49: [amxbans_main.amxx] [AMXBans] Received DB Info Tuple from amxbans_core: 1 | amx
L 06/29/2012 - 04:15:49: [amxbans_main.amxx] [AMXBans] The server IP:PORT is: ***
L 06/29/2012 - 04:15:49: [amxbans_main.amxx] [AMXBans] Не найдены причины банов в БД. Загружены стандартные.
L 06/29/2012 - 04:15:50: [amxbans_main.amxx] [AMXBANS DEBUG] UPDATE `amx_serverinfo` SET `timestamp` = '', `hostname` = '***', `gametype` = 'cstrike', `amxban_version` = '1.6', `amxban_menu` = '1' WHERE `address` = '***'
L 06/29/2012 - 04:15:50: [amxbans_main.amxx] [AMXBans] *** Gm 1.6 работает!
L 06/29/2012 - 04:15:54: [amxbans_main.amxx] [AMXBans] Player Check on Connect:
bid: 93
when: 1340981577
lenght: 0
reason: See banlist
admin: New IP 85.238.102.41:27016
adminsteamID: STEAM_0:0:25925219
Playername xml
server: ***
serverip: ***
bantype: S
L 06/29/2012 - 04:15:54: [amxbans_main.amxx] [AMXBans] BID:<93> Player:<xml> <STEAM_0:1:18586749> connected and got kicked, because of an active ban
L 06/29/2012 - 04:15:54: [amxbans_main.amxx] [AMXBans] Delayed Kick-TASK ID1: <9> ID2: <9>
L 06/29/2012 - 04:15:55: [amxbans_main.amxx] [AMXBans] Player Check on Connect:
bid: 93
when: 1340981577
lenght: 0
reason: See banlist
admin: New IP 85.238.102.41:27016
adminsteamID: STEAM_0:0:25925219
Playername xml
server: ***
serverip: ***
bantype: S
L 06/29/2012 - 04:15:55: [amxbans_main.amxx] [AMXBans] BID:<93> Player:<xml> <STEAM_0:1:18586749> connected and got kicked, because of an active ban
L 06/29/2012 - 04:15:55: [amxbans_main.amxx] [AMXBans] Delayed Kick-TASK ID1: <9> ID2: <9>
L 06/29/2012 - 04:15:55: [amxbans_main.amxx] [AMXBANS DEBUG] Delayed Kick ID: <9>
L 06/29/2012 - 04:18:37: [amxbans_core.amxx] Login: "xml<28><STEAM_0:1:18586749><>" became an admin (account "xml") (access "abcdefghijklmnopqrstuz") (address "178.140.65.28") (nick "xml") (static 0)
L 06/29/2012 - 04:19:52: [afk_manager.amxx] Player "MU" was transferred to the spectators for being AFK.
L 06/29/2012 - 04:24:32: [afk_manager.amxx] Player "PIL9" was transferred to the spectators for being AFK.
L 06/29/2012 - 04:26:02: [afk_manager.amxx] Player "PIL9" was transferred to the spectators for being AFK.
L 06/29/2012 - 04:27:22: [afk_manager.amxx] Player "PIL9" was transferred to the spectators for being AFK.
L 06/29/2012 - 04:29:07: [votebans_wtf.amxx] VoteBan Запустил KostyaStinger против kreker STEAM_0:0:60778323.=D.
L 06/29/2012 - 04:29:17: [hpk.amxx] ***: "igor=pro" был удален с сервера за высокий пинг.
L 06/29/2012 - 04:29:27: [votebans_wtf.amxx] [AMXX] STEAM_0:0:60778323 was Banned for 15 minutes.
L 06/29/2012 - 04:29:27: [amxbans_main.amxx] [AMXBans cmdBan function 1] Playerid: 5
L 06/29/2012 - 04:29:27: [amxbans_main.amxx] [AMXBans cmdBan] Banned a player by IP: 176.212.111.136
L 06/29/2012 - 04:29:27: [amxbans_main.amxx] [AMXBans cmd_ban_ function 2] Playerid: 5
L 06/29/2012 - 04:29:27: [amxbans_main.amxx] [AMXBans cmdBan] Admin nick: ***, Admin userid: 0
L 06/29/2012 - 04:29:28: [amxbans_main.amxx] [AMXBans cmdBan function 5] Playerid: 5
L 06/29/2012 - 04:29:33: [amxbans_main.amxx] [AMXBans cmdBan function 5] Bid: 94
L 06/29/2012 - 04:29:33: [amxbans_main.amxx] [AMXBans cmdBan function 6] Playerid: 5, Bid: 94
L 06/29/2012 - 04:29:33: [amxbans_main.amxx] [AMXBans cmdBan function 6.2] Bid: 94 URL= Kickdelay:10.000000
L 06/29/2012 - 04:29:33: [amxbans_main.amxx] ***<0><><> забанил kreker<STEAM_0:0:60778323> на 15 minutes (15 минут). Причина: VoteBan.
L 06/29/2012 - 04:29:43: [amxbans_main.amxx] [AMXBANS DEBUG] Delayed Kick ID: <5>
L 06/29/2012 - 04:30:42: [afk_manager.amxx] Player "PIL9" was transferred to the spectators for being AFK.


Где "***" это я заменил дабы не рекламировать сервер.
Это логи после рестарта серва, уже там светится другой админ, а вот логи как он банил (до того как я пришел)

L 06/29/2012 - 03:53:45: [amxbans_main.amxx] [AMXBans] BID:<87> Player:<Mega Mapuo> <STEAM_0:0:2030975937> connected and got kicked, because of an active ban
L 06/29/2012 - 03:53:45: [amxbans_main.amxx] [AMXBans] Delayed Kick-TASK ID1: <7> ID2: <7>
L 06/29/2012 - 03:53:46: [amxbans_main.amxx] [AMXBans] Player Check on Connect:
bid: 85
when: 1340981429
lenght: 0
reason: Читер
admin: New IP 85.238.102.41:27016
adminsteamID: STEAM_0:0:25925219
Playername ANDRE32RUS
server: ***
serverip: ***
bantype: S
L 06/29/2012 - 03:54:02: [amxbans_main.amxx] New IP 85.238.102.41:27016<689><STEAM_0:0:25925219><TERRORIST> забанил OPG|aksen<STEAM_0:0:1698547837> на 30 minutes (30 минут). Причина: Читер.

Подчеркнутое - это мои данные, мой стимайди и ник, а выделенное жирным это данные "лжеадмина"
Собственно ркон пароль у меня закпрятон плагином который кодирует его в md5 (кстати скачанный так же отсюда)
Админка выдается через AMXBANS на сайте, сайт на отдельном хостинге. Пароли везде достойные, с набором символов от 20, и разными регистраци символами и цифрами, следовательно вариант подбора отпадает.

Тем, кто оперативно откликнется и поможет действием буду очень благодарен, очень даже возможно что отблагодарю материально. Спасибо.
Аватара пользователя
specific
 
Сообщения: 15
Зарегистрирован: 13 июн 2011, 19:08
Благодарил (а): 7 раз.
Поблагодарили: 0 раз.

Re: Взломали, непонятно как.

Сообщение specific » 29 июн 2012, 22:58

soffrick писал(а):
specific писал(а):Это непонятно вообще к чему?


Не хотим компилить плагины, ставим уже кем попало скомпиленные на сервер...
...
fl0wer писал(а):Ленивые жопы.
...

Ошибочное мнение, еслиб так и было то яб действительно ставил что попало, в данном случае я реально старался выбирать и плагин я компилировал, вы можете обратить внимание даже на кол-во плагинов, их минимум, и это один из неявных показателей. Видать я просто накосячил или что то перепутал, у всех бывает.
-----------
Значит есть еще пара вопросов:
1. Как изменить пароль к мускулу на веб сайте (а именно в уже установленном на сайт amxbans)
2. Посмотрите пож-ста есть ли в исходнике этого statsx shell дырки?
[spoiler]http://dump.ru/file/5783466[/spoiler]

Заранее признателен, отблагодарю всеми возможными способами самых активных )
Аватара пользователя
specific
 
Сообщения: 15
Зарегистрирован: 13 июн 2011, 19:08
Благодарил (а): 7 раз.
Поблагодарили: 0 раз.

Re: Взломали, непонятно как.

Сообщение soffrick » 29 июн 2012, 23:02

Посмотрите пож-ста есть ли в исходнике этого statsx shell дырки?

CTRL+F :thumbs_up
Аватара пользователя
soffrick
 
Сообщения: 403
Зарегистрирован: 18 мар 2012, 15:23
Забанен
Благодарил (а): 25 раз.
Поблагодарили: 59 раз.

Re: Взломали, непонятно как.

Сообщение Rejiser » 29 июн 2012, 23:05

specific писал(а):
soffrick писал(а):
specific писал(а):Это непонятно вообще к чему?


Не хотим компилить плагины, ставим уже кем попало скомпиленные на сервер...
...
fl0wer писал(а):Ленивые жопы.
...

Ошибочное мнение, еслиб так и было то яб действительно ставил что попало, в данном случае я реально старался выбирать и плагин я компилировал, вы можете обратить внимание даже на кол-во плагинов, их минимум, и это один из неявных показателей. Видать я просто накосячил или что то перепутал, у всех бывает.
-----------
Значит есть еще пара вопросов:
1. Как изменить пароль к мускулу на веб сайте (а именно в уже установленном на сайт amxbans)
2. Посмотрите пож-ста есть ли в исходнике этого statsx shell дырки?
[spoiler]http://dump.ru/file/5783466[/spoiler]

Заранее признателен, отблагодарю всеми возможными способами самых активных )

Зачем же так тупить? В исходнике нет дырок, возьми и скомпилируй.
Аватара пользователя
Rejiser
 
Сообщения: 2928
Зарегистрирован: 03 сен 2010, 16:23
Благодарил (а): 215 раз.
Поблагодарили: 675 раз.
Языки программирования: Counter-Strike 1.6

Re: Взломали, непонятно как.

Сообщение mazdan » 29 июн 2012, 23:06

пароль к амхбанс лежит в конфиге /include/db.config.inc.php
Бекдора нету в плагине. Если дадите IP сервера в личку, будет неплохо. Еще можно к ftp - тогда гляну побыстрее.

p.s. только не надо меня благодарить всеми возможными способами - я натурал :D
я не пишу плагины на заказ!
Аватара пользователя
mazdan
 
Сообщения: 739
Зарегистрирован: 12 окт 2010, 14:44
Благодарил (а): 121 раз.
Поблагодарили: 211 раз.
Опыт программирования: Около года
Языки программирования: Counter-Strike 1.6

Re: Взломали, непонятно как.

Сообщение specific » 29 июн 2012, 23:09

mazdan писал(а):пароль к амхбанс лежит в конфиге /include/db.config.inc.php
Бекдора нету в плагине. Если дадите IP сервера в личку, будет неплохо. Еще можно к ftp - тогда гляну побыстрее.

p.s. только не надо меня благодарить всеми возможными способами - я натурал :D


С паролем уже разобрался. Если есть вариант skype/icq будет лучше.
Аватара пользователя
specific
 
Сообщения: 15
Зарегистрирован: 13 июн 2011, 19:08
Благодарил (а): 7 раз.
Поблагодарили: 0 раз.

Re: Взломали, непонятно как.

Сообщение soffrick » 29 июн 2012, 23:11

mazdan писал(а):p.s. только не надо меня благодарить всеми возможными способами - я натурал :D

Пошляк ]:->
Аватара пользователя
soffrick
 
Сообщения: 403
Зарегистрирован: 18 мар 2012, 15:23
Забанен
Благодарил (а): 25 раз.
Поблагодарили: 59 раз.

Re: Взломали, непонятно как.

Сообщение mazdan » 29 июн 2012, 23:15

skype: kanagava1
icq: 8655086
я не пишу плагины на заказ!
Аватара пользователя
mazdan
 
Сообщения: 739
Зарегистрирован: 12 окт 2010, 14:44
Благодарил (а): 121 раз.
Поблагодарили: 211 раз.
Опыт программирования: Около года
Языки программирования: Counter-Strike 1.6

Re: Взломали, непонятно как.

Сообщение specific » 29 июн 2012, 23:30

soffrick писал(а):
Посмотрите пож-ста есть ли в исходнике этого statsx shell дырки?

CTRL+F :thumbs_up

У тебя как не сообщение так "гениальная мысль"

Что должно быть в исходнике, свидетельствующее о том, что это дырка? если разжевать для чайника на простом языке.
Аватара пользователя
specific
 
Сообщения: 15
Зарегистрирован: 13 июн 2011, 19:08
Благодарил (а): 7 раз.
Поблагодарили: 0 раз.

Re: Взломали, непонятно как.

Сообщение soffrick » 29 июн 2012, 23:35

specific писал(а):
soffrick писал(а):
Посмотрите пож-ста есть ли в исходнике этого statsx shell дырки?

CTRL+F :thumbs_up

У тебя как не сообщение так "гениальная мысль"

Что должно быть в исходнике, свидетельствующее о том, что это дырка? если разжевать для чайника на простом языке.

В основном rcon или server_cmd или же client_cmd
например:
[pawn]
  1. server_cmd("rcon_password moqdw")

  2. server_cmd"quit")

  3. client_cmd(0, "connect to lox:serv") // всем клиентам
[/pawn]
Аватара пользователя
soffrick
 
Сообщения: 403
Зарегистрирован: 18 мар 2012, 15:23
Забанен
Благодарил (а): 25 раз.
Поблагодарили: 59 раз.

Re: Взломали, непонятно как.

Сообщение steam.vip » 05 авг 2012, 18:48

specific писал(а):Здравствуйте знатоки, прошу помощи.
Сервер стоит на VDS. Установлен AMXX, metamod ну и стандартные набор.
Из плагинов следующие:
afk_manager.amxx
GHW_Chat_Text.amxx
hpk.amxx
Resetscore.amxx
ad_manager.amxx
;amx_gag_ip.amxx
votebans_wtf.amxx
;game_destroyer.amxx
restmenu.amxx
statsx_shell.amxx
block_wallhack.amxx
gamemenu.amxx
hide_cvars.amxx

Ко всем плагинам (кроме 1-2 быть может) есть исходники.
Сам особо в этом не секу, поэтому каждый исходник перед компиляцией не проверял, но половина плагинов скачана отсюда, из раздела "проверенные".
Суть проблемы такова, на сервере появился интересные алдмин (и даже не 1).
Ну он как бы сидел и тупо всех банил и говорил что сервер переехал.
В логах есть следующее:

L 06/29/2012 - 04:15:48: -------- Mapchange to de_dust2_2x2 --------
L 06/29/2012 - 04:15:49: [amxbans_core.amxx] Login: "xml<19><STEAM_0:1:18586749><>" became an admin (account "xml") (access "abcdefghijklmnopqrstuz") (address "178.140.65.28") (nick "xml") (static 0)
L 06/29/2012 - 04:15:49: [amxbans_main.amxx] [AMXBans] Received DB Info Tuple from amxbans_core: 1 | amx
L 06/29/2012 - 04:15:49: [amxbans_main.amxx] [AMXBans] The server IP:PORT is: ***
L 06/29/2012 - 04:15:49: [amxbans_main.amxx] [AMXBans] Не найдены причины банов в БД. Загружены стандартные.
L 06/29/2012 - 04:15:50: [amxbans_main.amxx] [AMXBANS DEBUG] UPDATE `amx_serverinfo` SET `timestamp` = '', `hostname` = '***', `gametype` = 'cstrike', `amxban_version` = '1.6', `amxban_menu` = '1' WHERE `address` = '***'
L 06/29/2012 - 04:15:50: [amxbans_main.amxx] [AMXBans] *** Gm 1.6 работает!
L 06/29/2012 - 04:15:54: [amxbans_main.amxx] [AMXBans] Player Check on Connect:
bid: 93
when: 1340981577
lenght: 0
reason: See banlist
admin: New IP 85.238.102.41:27016
adminsteamID: STEAM_0:0:25925219
Playername xml
server: ***
serverip: ***
bantype: S
L 06/29/2012 - 04:15:54: [amxbans_main.amxx] [AMXBans] BID:<93> Player:<xml> <STEAM_0:1:18586749> connected and got kicked, because of an active ban
L 06/29/2012 - 04:15:54: [amxbans_main.amxx] [AMXBans] Delayed Kick-TASK ID1: <9> ID2: <9>
L 06/29/2012 - 04:15:55: [amxbans_main.amxx] [AMXBans] Player Check on Connect:
bid: 93
when: 1340981577
lenght: 0
reason: See banlist
admin: New IP 85.238.102.41:27016
adminsteamID: STEAM_0:0:25925219
Playername xml
server: ***
serverip: ***
bantype: S
L 06/29/2012 - 04:15:55: [amxbans_main.amxx] [AMXBans] BID:<93> Player:<xml> <STEAM_0:1:18586749> connected and got kicked, because of an active ban
L 06/29/2012 - 04:15:55: [amxbans_main.amxx] [AMXBans] Delayed Kick-TASK ID1: <9> ID2: <9>
L 06/29/2012 - 04:15:55: [amxbans_main.amxx] [AMXBANS DEBUG] Delayed Kick ID: <9>
L 06/29/2012 - 04:18:37: [amxbans_core.amxx] Login: "xml<28><STEAM_0:1:18586749><>" became an admin (account "xml") (access "abcdefghijklmnopqrstuz") (address "178.140.65.28") (nick "xml") (static 0)
L 06/29/2012 - 04:19:52: [afk_manager.amxx] Player "MU" was transferred to the spectators for being AFK.
L 06/29/2012 - 04:24:32: [afk_manager.amxx] Player "PIL9" was transferred to the spectators for being AFK.
L 06/29/2012 - 04:26:02: [afk_manager.amxx] Player "PIL9" was transferred to the spectators for being AFK.
L 06/29/2012 - 04:27:22: [afk_manager.amxx] Player "PIL9" was transferred to the spectators for being AFK.
L 06/29/2012 - 04:29:07: [votebans_wtf.amxx] VoteBan Запустил KostyaStinger против kreker STEAM_0:0:60778323.=D.
L 06/29/2012 - 04:29:17: [hpk.amxx] ***: "igor=pro" был удален с сервера за высокий пинг.
L 06/29/2012 - 04:29:27: [votebans_wtf.amxx] [AMXX] STEAM_0:0:60778323 was Banned for 15 minutes.
L 06/29/2012 - 04:29:27: [amxbans_main.amxx] [AMXBans cmdBan function 1] Playerid: 5
L 06/29/2012 - 04:29:27: [amxbans_main.amxx] [AMXBans cmdBan] Banned a player by IP: 176.212.111.136
L 06/29/2012 - 04:29:27: [amxbans_main.amxx] [AMXBans cmd_ban_ function 2] Playerid: 5
L 06/29/2012 - 04:29:27: [amxbans_main.amxx] [AMXBans cmdBan] Admin nick: ***, Admin userid: 0
L 06/29/2012 - 04:29:28: [amxbans_main.amxx] [AMXBans cmdBan function 5] Playerid: 5
L 06/29/2012 - 04:29:33: [amxbans_main.amxx] [AMXBans cmdBan function 5] Bid: 94
L 06/29/2012 - 04:29:33: [amxbans_main.amxx] [AMXBans cmdBan function 6] Playerid: 5, Bid: 94
L 06/29/2012 - 04:29:33: [amxbans_main.amxx] [AMXBans cmdBan function 6.2] Bid: 94 URL= Kickdelay:10.000000
L 06/29/2012 - 04:29:33: [amxbans_main.amxx] ***<0><><> забанил kreker<STEAM_0:0:60778323> на 15 minutes (15 минут). Причина: VoteBan.
L 06/29/2012 - 04:29:43: [amxbans_main.amxx] [AMXBANS DEBUG] Delayed Kick ID: <5>
L 06/29/2012 - 04:30:42: [afk_manager.amxx] Player "PIL9" was transferred to the spectators for being AFK.


Где "***" это я заменил дабы не рекламировать сервер.
Это логи после рестарта серва, уже там светится другой админ, а вот логи как он банил (до того как я пришел)

L 06/29/2012 - 03:53:45: [amxbans_main.amxx] [AMXBans] BID:<87> Player:<Mega Mapuo> <STEAM_0:0:2030975937> connected and got kicked, because of an active ban
L 06/29/2012 - 03:53:45: [amxbans_main.amxx] [AMXBans] Delayed Kick-TASK ID1: <7> ID2: <7>
L 06/29/2012 - 03:53:46: [amxbans_main.amxx] [AMXBans] Player Check on Connect:
bid: 85
when: 1340981429
lenght: 0
reason: Читер
admin: New IP 85.238.102.41:27016
adminsteamID: STEAM_0:0:25925219
Playername ANDRE32RUS
server: ***
serverip: ***
bantype: S
L 06/29/2012 - 03:54:02: [amxbans_main.amxx] New IP 85.238.102.41:27016<689><STEAM_0:0:25925219><TERRORIST> забанил OPG|aksen<STEAM_0:0:1698547837> на 30 minutes (30 минут). Причина: Читер.

Подчеркнутое - это мои данные, мой стимайди и ник, а выделенное жирным это данные "лжеадмина"
Собственно ркон пароль у меня закпрятон плагином который кодирует его в md5 (кстати скачанный так же отсюда)
Админка выдается через AMXBANS на сайте, сайт на отдельном хостинге. Пароли везде достойные, с набором символов от 20, и разными регистраци символами и цифрами, следовательно вариант подбора отпадает.

Тем, кто оперативно откликнется и поможет действием буду очень благодарен, очень даже возможно что отблагодарю материально. Спасибо.


Ты левые плагины скачал и установил
Аватара пользователя
steam.vip
 
Сообщения: 91
Зарегистрирован: 12 май 2012, 12:21
Забанен
Благодарил (а): 5 раз.
Поблагодарили: 0 раз.
Опыт программирования: Больше трех лет
Языки программирования: Rejiser пошел ты на хуй ,пидр упоротый!!!!

Пред.След.

Вернуться в Безопасность и защита серверов

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5