sourceserver.info

Hallo,

kurz vorweg einige Daten. Es handelt es sich um einen Gameserver auf einem Rootserver mit Debian Squeeze. Das rcon Passwort kennt kein Administrator, eben so hat niemand anderes Shell Zugriff. SSH Login erfolgt per Auth Key. Der Gameserver läuft unter einem eigenen Benutzer.

Auf dem Gameserver läuft MetaMod, SourceMod, DosAttackFix und Eventscripts.


Es ist nun dazu gekommen, dass Zugriff auf den Server erlangt wurde. Bisher ist folgendes zu erkennen:

- Im Maps Ordner sind alle Maps wie gewohnt zu finden. Zu allen Maps - die sich in der Mapcycle befinden - wurde im gleichen Namen der Maps (mapname.bsp) ein Ordner erstellt, worin sich eine entsprechende txt-Datei mit einem Hacked Hinweis befindet.

- server.cfg wurde umbenannt und die Hacked-Datei findet man auch hier wieder vor.

Alle Ordner und Dateien wurden in der selben Minute erstellt, bei der Anzahl an Dateien gehen ich von einem Script aus.

Die Logfiles von SSH und Gameserver zeigen keinen Login, entweder war der Täter also hinterher gründlich oder die Modifikation erfolgte auf anderer Weise. Es laufen auf dem Rootserver auch keine weiteren Dienste wie FTP.

Nun stellt sich die Frage, wie kam es dazu? Wo könnte ich nachforschen? Irgendwelche Tipps?

Danke.

Der Inhalt der Dateien im Maps- und cfg-ordner:



Was genau verändert wurde, habe ich bereits im ersten Post erwähnt. Mehr ist mir bisher noch nicht untergekommen.

Das erste was ich überprüft hatte, waren der Inhaber sowie SSH, Gameserver- und SourceMod Logs. Was mich eben wundert, ist, dass diese alle unauffällig sind. Kein SSH Login, kein RCON login.. Nichts. Die genannten Logs sind alle clean. Inhaber der Dateien ist der Gameserverbenutzer.