sourceserver.info

Vor einiger Zeit hat Mani die Firma Valve über einige Sicherheitslücken aufmerksam gemacht.
Doch Valve war bis jetzt nicht willig diese zu schließen.

Darum hat Devicenull jetzt ein Plugin geschrieben das diese Sicherheitslücken schließt.

Hier eine Liste mit den Explodis die gefixt wurden:

• Ausführen von schädlichen Befehlen über "ent_fire" / "ent_create" wenn Cheats an sind.
  
• Laden von clientseitigen Plugins um Chatbefehle zu nutzen.
  
• Teleport Exploid.
  
• Mani Plugin Spambefehle die den Server zum Absturz führen.

Zu dem wird das Rcon-Passwort aus der server.cfg gesichert.
Es ist nicht mehr möglich es wo anders oder in der Konsole zu ändern.

Link zum Plugin: http://forums.alliedmods.net/showthread.php?t=93934

Die Liste der geblockten Exploits ist länger geworden:

• Executing harmful commands via ent_fire/ent_create if cheats are on
  
• Around 10 or so commands that can be used to lag the server (adds the cheats flag to them)
  
• Loading plugins clientside, allowing you to use cheat commands
  
• Clients would be able to teleport, regardless of cheats/plugins on server.
  
• If Mani is detected, spammable commands will be blocked (this will break nextmap functionality, but its either that or risk server crashes)
  
• Es_tools changelevel exploit
  
• Cvar bounds are removed on sv_rcon_minfailures and sv_rcon_maxfailures. These are also set to 10,000 if they are not changed in your config file.
  
• "unnamed" users will be kicked once they join.
  
• Users with bell or % characters will be kicked when they join
  
• Commands executed before a client has connected will be blocked.
  
• Prevent logging from being disabled, if it is ever enabled while the plugin is active.
  
• All commands on the server will be logged by default.

MfG

Ich habe es laufen und keine Probleme.

Du solltest aber ein langes sicheres Rcon Passwort haben,
Da das Plugin "sv_rcon_minfailures" und "sv_rcon_maxfailures" auf 10.000 setzt.
somit gibt man Brute-Force-Attacken keine Chance.

Ist nicht sehr schön, aber der einzige Weg um zu verhindern das der Server-Laggt oder sich aufhängt
wenn zu viele Rcon Passwortanfragen von einem Hacker* gesendet werden.

* Scriptkiddy