sourceserver.info

jop nehm sie generalchen bestteam

Wie baut man denn so einen "Hack" auf Kernelebene ein? Also in welche Richtung müsste man suchen/programmieren?
Mich interessiert das weniger wegen den xtausend fps, sondern mehr um von den idlern loszukommen.

Also wegen dem gameME Plugin habe ich die Entwickler schon vor langer Zeit mal angeschrieben. Die sind sich absolut sicher, dass ihr Plugin
KEINE Abstürze verursacht. Unser Gungame schmiert ja auch seit Monaten aus unerfindlichen Gründen ab, aber gameMe läuft auch auf
allen anderen Servern. Gut, die sind nicht gut besucht (da wir zuwenige sind um die zu füllen) aber das hiesse, dass gameMe nur unter
Last, bei vielen Spielern auf einmal den Absturz verursacht.

Wie schauts denn bei euch auf dem Server aus, wenn er abschmiert?

- ist er voll wie hulle?
- oder passierts auch mal wenn kaum was los ist?
- passierts immer nur beim Mapwechsel?

Andere Möglichkeit für euch (falls ihr gameMe sicher ausschließen wollt) wäre ja HLStatsX:CE einzurichten, aber ich weiss nicht ob man da die
Statistiken vom normalen gameMe übernehmen kann.

Quoted from ""GeNeRaLbEaM""

.. Gestern hatten wir wieder einen lustigen Kautz, der mit einem reconnect Script den Server mehrmals lahmgelegt hat

Anti Reconnect: http://forums.alliedmods.net/showthread.php?t=79872&highlight=Anti+Reconnect">http://forums.alliedmods.net/showthread ... +Reconnect</a>

Stells auf 5 Sekunden ein, das reicht völlig.

sm_anti_reconnect_disconnect_by_user_only kannste auf 0 stellen.

Ich habe aber gesehen das ihr Mani und SM auf dem Server laufen habt. Mani würde ich einfach mal runterschmeissen um die nächste
Angriffs Fläche auszusortieren. Desweiteren würde mich immer noch eure Kernel Meldung interessieren, wenn der Server ohne Einfluss
von aussen abschmiert. Ich wette immer noch, der spuckt segfault Meldungen aus.

Quoted from ""DeaD_EyE""

Es liegt daran, dass Gportal und die Lib über /etc/screenrc laden. Da es ein v2 Kernel mit 2000 FPS sein soll, steht dort auch barv setenv FPS=2000 drin. Ich würd mal gerne wissen, was andere Kunden mit einem 1000 FPS-Kernel von GPortal in ihrer Screenrc stehen haben. Wahrscheinlich setenv FPS=1000. Nur so eine Ahnnahme.

Jedes mal wenn im Screen eine shell gestartet wird kommt die Fehlermeldung. Ich habs selber nicht getestet, aber ich gehe mal von aus, dass die Fehlermeldungen jedes mal kommen, wenn der Server austürzt. In den Logs steht der Fehler natürlich nicht, sondern nur im Screen.

Auf dem Server ist der Kernel 2.6.33-rc8-rt??. Schon komisch, dass ein rc als Kernel verkauft wird, vor allem, da 2.6.33.1 stable ist. Wahrscheinlich gab es zum Zeitpunkt des Kaufs den 2.6.33.1 noch nicht. Das ist, als wenn man ein Auto kaufen würde, dass noch nicht komplett zusammengebaut ist. Wenn man das selber testet, stört es ja niemanden. Aber ich würde als Kunde erwarten, dass wenigstens ein stabiler Kernel eingesetzt wird und falls ein Release-Kandidat eingesetzt wird, dass dieser später durch die fertige Version ersetzt wird. So kauft der Kunde einen Schnappschuss von irgendeinem Kernel, in dem nichtmals Sicherheitspatches eingepflegt werden können, geschweige Änderungen vorgenommen werden können. Jaja, niemand will seine Geschäftsgeheimnisse verraten.

Sorry für off Topic wollte des wegen kein neues Thread auf machen...

Also ich besitze auch ein Root bei GPortal vor paar Tagen wurde ein angriff bei uns auf den SSH Port gestartet Wahrscheinlich ein Brute-force-attacke jeden Fall ohne Erfolg. Aber die folge GPortal hat den Server automatisch in den Rescue-System geschickt... auf die Frage wieso sie das taten wegen dem Hack angriff... sollte es noch mal vorkommen wird der Server für eine Woche offline genommen geile Geschäfts Politik... Und die Anweisung war auch geil wir mussten darauf hin den Server komplett neu installieren und alles neu machen. Lächerlich auf jeden Fall.

Jetzt mal zur Lib dieser Eintrag in screenrc gehört standard gemäß zu dem WI von GPortal, wie ich gesehen habe fehlt bei mir auch die Datei "libBEpingboost.so.1.0.1_root.so" und setenv FPS 2000 steht bei mir auch drin. Dazu ich besitzen kein V2 Kernel, da ich einfach nicht einsehe das ich dafür den Root zugriff aufgebe da ich ja alles komplett neu gemacht habe dachte ich mal das ich ein Neuen Kernel bekomme, Fehl anzeige ich hab immer noch ein alten.

Linux version 2.6.28.7 (root@R14573) (gcc version 4.3.2 (Debian 4.3.2-1.1) ) #1 SMP Wed Feb 25 18:18:13 CET 2009 im WI zeigt er mir an das ich Debian 5.0 Lenny installiert hätte.... Weiß ja nicht ob der Kernel irgend welche Sicherheit´s Lücken aufweist dafür Beschäftige ich mit Kernel zeug´s zu wenig, Sollte da jemand was wissen könnte ja mal Bescheid geben.

@ GeNeRaLbEaM

schau einfach im Ordner /tmp/ nach da steht die Screen log drin wo ja nach schauen kannst wodurch er abstürzt aber an GameMe liegt es auf jeden Fall nicht das ist das einzige auf einen Server von mir und durch kommt es zu keinen abstürzen..


Greetz

Was kannst du dafür, wenn jemand anderes deinen SSH-Port angreift?
Mal im Ernst, für so Angriffe kann der Admin nichts. Man kann nur zusehen, dass sowas in Zukunft nicht mehr passiert. Die Order den Server neu einzurichten kommt eigentlich nur, wenn man von ausgehen muss, dass der Server kompromittiert ist und andere angreift. Falls es nicht der Fall war, frage ich mich eigentlich was der Provider da eigentlich macht. Ggf. Rechtsanwalt nehmen, Kündigen und vielleicht Schadensersatz verlangen! Immerhin sorgt das Neuinstallieren für erheblichen Arbeitsaufwand. Dies sollte entschädigt werden. Das kann doch echt nicht wahr sein. Kaum glaube ich, dass man G-Portal vielleicht doch empfehlen kann, leisten die sich den nächsten Hammer. Es gibt noch viele andere Provider auf dem Markt. Wenn ich sowas lese, frage ich mich echt, womit der Anbieter seine Kunden hält. Ich werde diesen Anbieter auf jeden Fall keinem mehr emfehlen. Hoffentlich liest das einer von denen! Das kann doch echt nicht wahr sein!

Um den Server gegehn solche SSH-Brute-Force-Attacken zu schützen, kannst du fail2ban und porsentry installieren und dan SSH Port verlegen. So hat ein Angreifer nicht die Möglichkeit deine Ports zu scannen. Sollte der Hacker den SSH-Port doch herausfinden, muss er später ferststellen, dass bei mehrmaligen falschem Passwort seine IP gebannt wird. Wenn du dann nur noch SSH-Verbindungen mit Key zulässt, macht das deinen Server noch etwas sicherer.

Dein installierter Kernel ist der Standard-Debian-Kernel. Bei Debian ist immer die devise, lieber etwas älteren nehmen, dass erpropt ist und stabil läuft. Aber es ist gut zu wissen, dass G-Portal von Haus aus einen LibHack verwendet um seine Kunden........... Den Rest könnt ihr euch denken. Vor allen wird dieser LibHack auch bei anderen Serverdiensten geladen, wenn man diese im Screen startet. Ob die Lib bei anderen GameServern etwas bringt oder sogar zur Verschlechterung führt, ist fraglich. Das müsste man einfach mal testen.

...deshalb setzt ich immer auf anbieter die mindestens 2 IP´s inklusive bieten. damit man die komplette administration dediziert von einer public IP handeln kann, hilft zwar auch nicht wenn jemand komplette subnetze scant, aber da das eher die außnahme ist ist es doch wesentlich sicherer.

ich lese bei g-portal

Quoted

IP Adresse(n) 1 inkl. (max. 4 IPs möglich)

von einem extra preis nichts zu sehen, wenns umsonnst ist würde ich auf jedenfall ne 2te IP nehmen und ssh/sftp dorthin auslagern.

edit: ja, das scheint neue mode bei den server anbietern zu sein die genaue distro beschreibung aus /proc/version zu nehmen (oder es wahr nie da bei debian? kp, hab nie drauf geachtet) :S
der standart kernel von lenny ist 2.6.26.
gcc version 4.3.2 (Debian 4.3.2-1.1) <- lenny
4.1.1-21 wäre etch.
(basierend auf den stable packages
http://packages.debian.org/search?searchon=names&keywords=gcc">http://packages.debian.org/search?searc ... ywords=gcc</a> )


sagt's dir sicher

Quoted

lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description: Debian GNU/Linux 5.0.4 (lenny)
Release: 5.0.4
Codename: lenny

hast das überlesen bei GP

Quoted from ""hEiNz""

hast das überlesen bei GP

	Source code
1	weitere IPs (max. 4 Stk.) Monatlich 1,- EUR

mh, stimmt, hab nicht unter extras geguckt :S
wobei 1€ auch nicht mehr viel reißen

Das mit dem SSH Port zu verlegen hatte ich jetzt auch vor da mir das ganz so langsam auf den Sack geht. Nun bekam ich eine Email...

A host under your control (85.***.***.***) has been banned from the Datagram network due to repeated brute force attempts
at guessing SSH and/or FTP passwords. This strongly indicates that this host is compromised, or that your clients
are delibrately engaging in illegal conduct. Please investigate this matter accordingly.

Datagram Administrator

Da mein Englisch nicht besonders´s gut ist werde ich aus dieser Mail nicht schlau...

Quoted

Ein Host unter ihrer Aufsicht wurde aus dem Datagram Netzwerk gebannt, weil wiederholt Borte-Force-Attacken anhand von SSH und/oder FTP-Passwörtern durchgeführt wurden.

Es weist stark darauf hin, dass der Host kompromittiert (gehackt) ist oder deine Clienten (User, die auf den Server connecten) absichtlich illegale Aktonen durchführen.

Wenn ich richtig liege, meinen die UDP: http://de.wikipedia.org/wiki/User_Datagram_Protocol">http://de.wikipedia.org/wiki/User_Datagram_Protocol</a>
Nur komisch, dass SSH und FTP über TCP laufen. Die ganze Meldung ergibt überhaupt keinen Sinn.

Dort steht nicht welcher Host angegriffen wird und es steht dort auch kein Kontakt. Abuse-EMails bekommen nur die Anbieter und nicht du. Solange die E-Mail an dich gerichtet ist, kann irgendwas nicht stimmen (Hoax?). Es seiden G-Portal hat die E-Mail weitergeleitet, was ich mir aber nicht vorstellen kann. Dafür hat die Meldung zu wenig Informationen.

Wurde der Root neu eingerichtet? rkhunter sollte einmal installiert werden und ausgeführt werden. Als weitere Maßnahme könntest du alle Dienste auf dem Root herunterfahren und mal 'tcpdump -n' laufen lassen. Eigentlich sollte dann nur noch der Traffic auftreten, der wegen deiner SSH-Connection verursacht wird.

Quoted from ""Face2CoX""

Das mit dem SSH Port zu verlegen hatte ich jetzt auch vor da mir das ganz so langsam auf den Sack geht. Nun bekam ich eine Email...

A host under your control (85.***.***.***) has been banned from the Datagram network due to repeated brute force attempts
at guessing SSH and/or FTP passwords. This strongly indicates that this host is compromised, or that your clients
are delibrately engaging in illegal conduct. Please investigate this matter accordingly.

Datagram Administrator

Da mein Englisch nicht besonders´s gut ist werde ich aus dieser Mail nicht schlau...

http://www.datagram.com/">http://www.datagram.com/</a> ? würde dann zumindest etwas sinn machen.

In der annahme das euer server bereits ein "zombieserver" (hacked) ist und angriffe auf server gehostet durch http://www.datagram.com/">http://www.datagram.com/</a> führt.

In diesem fall wäre eurem host erlaubt zumindest eine kontakt email von euch rauszugeben, so das der geschädigte ISP direkt kontakt mit euch aufnehmen kann (das geschiet deshalbt da so eine schnellere/direktere kommunikation zustande kommt).
Allerdings sollte euer server provider euch ebenfalls kontaktiert haben, mit kurzer info das ein abuse vorliegt.
Da letzteres anscheinend nicht geschehen ist würde ich entweder direkt kontakt mit http://www.datagram.com/">http://www.datagram.com/</a> aufnehmen (kurze nachfrage ob die mail vom XX.XX.XXXX mit betreff XX and email X legitim ist/war, die original mail am besten mit anhängen) und euren server provider rückfragen ob ein abuse vorliegt.

Allerdings: Es wäre interessant zu wissen über und von welcher email addresse denn diese mail angekommen ist. Wenn euer server über einen reverse eintrag über eine eigen domain verfügt, dann kann es sein das die abuse an den gesendet wurde der als domain owner eingetragen ist, und nicht an den dem die IP gehört, in diesem falle wüsste euer ISP nichts von einer abuse,auser euer server provider ist auch owner der domain, (was allerdings sehr merkwürdig wäre, da domainrecords in den meisten TLD's nicht verifiziert sein müssen, und somit nicht "echt" sein könnten) und wäre somit nur zu prüfen wenn ihr selber direkt zu dem rückfragt der die emai gesendet hat. Wichtig ist das ihr nicht via "antworten" auf die abuse antwortet, sondern eine neue mail an eine öffentliche email des vermeintlichen abuse schreibers sendet. So stellt ihr sicher das sich keiner einen schertz mit euch erlaubt.
angenommen es wäre wirklich datagram.com würde es sinn machen eine email and <!-- e --><a href="mailto:support@datagram.com">support@datagram.com</a><!-- e --> und/oder <!-- e --><a href="mailto:abuse@datagram.com">abuse@datagram.com</a><!-- e --> zu senden (inhalt: wie weiter oben beschrieben).