Script-Kiddys nerven

Lieber Besucher, herzlich willkommen bei: sourceserver.info. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

Anubis

Profi

Beiträge: 769

Wohnort: Ulm

Montag, 10. Januar 2011, 13:53

Script-Kiddys nerven

Hi,

seit gestern morgen habe ich mit drei Kiddys Probleme die meinen Server immer wieder zum laggen bringen. Die kamen bei uns auf den Server, zuerst war auch alles normal, bis die ihre Hacks eingeschaltet haben. Wallhack, Aimbot, .... das volle Programm. Zwei unserer Member haben die Typen dann mehrfach gekickt (die haben keine Ban-Rechte). Dann gings erst richtig los. Nach einigen verbalen Entgleisungen sagte einer von denen er geht jetzt und hackt den Server. Dann gings gelagge los. Nach ein paar Minuten war wieder ruhe. Gestern Mittag habe ich sie dann gebannt. Als sie dies einige Stunden später merkten ging wieder das gelagge los. Ein paar Stunden später wieder.

Hat jemand von euch eine Idee wie ich es verhindern kann, dass die meine Server zum laggen bringen?
Wie mach das die Noobs eigentlich??? Es steht nichts in den Logs.

Sie haben es auch schon auf unsere Homepage abgesehen. Bisher kam es allerdings noch zu keinen Ausfällen, da der Server recht gut ist und die Anfragen bisher bewältigen konnte.

Gibt es eigentlich eine Möglichkeit die Adresse anhand einer IP herauszufinden??? Ich würde die gerne mal besuchen gehen.

Hoffe ihr könnt mir da weiterhelfen.

Viele Grüße

Anubis

Zum Seitenanfang

Koffein

Fortgeschrittener

Beiträge: 353

Rootserver vorhanden: Nein

Montag, 10. Januar 2011, 13:59

Re: Script-Kiddys nerven

Wir hatten das gleiche Problem damals,
dabei waren es aber nicht irgendwelche Kiddies sondern gezielte Angriffe gegen uns...

Kannst du mir mal eine kurze Info über die Plugins geben die bei dir laufen,
dann könnte ich dir vielleicht sagen wie du es fixen kannst...

Zum Seitenanfang

DeaD_EyE

Administrator

Beiträge: 3 980

Wohnort: Hagen

Beruf: Mechatroniker (didaktische Systeme)

Rootserver vorhanden: Nein

Montag, 10. Januar 2011, 14:22

Re: Script-Kiddys nerven

PRobier mal dieses Firewallscript aus: http://www.vanillatf2.org/2011/01/fighting-dos-attacks/">http://www.vanillatf2.org/2011/01/fighting-dos-attacks/</a>

SkyRadar Youtube Channel - Die neue S7-1500 - Youtube-Kanal

Zum Seitenanfang

rain

Super Moderator

Beiträge: 1 410

Wohnort: Lutherstadt Wittenberg

Beruf: Anlagenmechaniker

Rootserver vorhanden: Ja

Montag, 10. Januar 2011, 15:00

Re: Script-Kiddys nerven

Hast du Daf0.4 vllt schon auf dein Server? Wenn nein dringend empfohlen es zu installieren da dies schon einige DOS Attacken abhält.

http://sourceserver.info/wiki/daf">wiki/daf<

Zum Seitenanfang

DeaD_EyE

Administrator

Beiträge: 3 980

Wohnort: Hagen

Beruf: Mechatroniker (didaktische Systeme)

Rootserver vorhanden: Nein

Montag, 10. Januar 2011, 21:04

Re: Script-Kiddys nerven

Quellcode

#!/bin/bash

#Path to iptables
IPTABLES='/sbin/iptables'

# Default rule for established connections
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Put IPs you want to allow bypassing all these rules here
#$IPTABLES -A INPUT -s my_ip_here -j ACCEPT

# Local connections
$IPTABLES -A INPUT -s 127.0.0.1 -j ACCEPT

# Ports Game - SRCDS + SourceTV + Query
PORTS='27015:30000'

# Drop DOS exploit packages for SRCDS games
$IPTABLES -A INPUT -p udp -m udp --dport $PORTS -m string --algo bm --hex-string '|ffffffff54|' -m limit --limit 20/s -j ACCEPT
$IPTABLES -A INPUT -p udp -m udp --dport $PORTS -m string --algo bm --hex-string '|ffffffff54|' -j DROP

Geht so bei rain. So sind die Port 27015 bis 30000 geschützt.

SkyRadar Youtube Channel - Die neue S7-1500 - Youtube-Kanal

Zum Seitenanfang

Anubis

Profi

Beiträge: 769

Wohnort: Ulm

Dienstag, 11. Januar 2011, 11:28

Re: Script-Kiddys nerven

@ Koffein: Bei mir laufen MetaMod und SourceMod + SourceMod-Plugins. Alle Plugins auf dem akutellen stand.

@ DeaD_EyE: Gute Idee, aber leider habe ich doch keinen Rootzugriff, ist doch nur ein gemieteter Gameserver. Rest siehe @rain

@ rain: Also laut NGZ machen die das nicht über einen DDOS Angriff sondern wohl eher über eine Sicherheitslücke im HL2-Server. Der Supporter meinte, dass über einige dieser Lücken wohl gerade in der Maillinglist diskutiert wird. Wenn die das über DDOS gemacht hätten, währen bei NGZ irgendwelche Alarme ausgelöst worden.
Das Plugin habe ich nicht mehr drauf. Ich hatte es mal drauf, hatte aber dann Probleme. Der Server ließ sich nicht mehr starten. Nach einigen Versuchen hab ichs wieder deaktiviert, seither startet er ohne Probleme. Hast du das Plugin drauf und funktioniert?

Kann ich es irgendwie verhindern, dass die solche Sicherheitslücken ausnutzen?
Laut dem Supporter können die da nix tun. Damit will ich mich aber nicht zufrieden geben und selber danach schauen.

Zum Seitenanfang

Terrorkarotte

Super Moderator

Beiträge: 708

Dienstag, 11. Januar 2011, 12:03

Re: Script-Kiddys nerven

Dead_eys Lösung ist die von der Liste, aus besagter Diskussion und soll die Packete filtern, die dafür bekannt sind, dass sie Schwachstellen in HL2 ausnutzen.
Sie ist somit kein DDos Schutz, sondern einfach nur ein Packtefilter, wenn zu viele dieser Art auf einmal ankommen (mehr als 20/sekunde).

Webbasierender Config Ersteller: www.ulrich-block.de für CS 1.6, CSS, DODS und TF2.

Ebenso wird werden verschiedene Debian Gameserverkernel zum Download angeboten.

Zum Seitenanfang

Koffein

Fortgeschrittener

Beiträge: 353

Rootserver vorhanden: Nein

Dienstag, 11. Januar 2011, 14:49

Re: Script-Kiddys nerven

Also bei mir gab es damals Probleme weil die Leute verschiedene Cmds gespammt hatten
und somit Admin Rechte erhielten, war aber glaube ich mit Mani damals...
Hatte dann damals komplett auf Source/Metamod + Eventscripts gewechselt.

Für Sourcemod gab es damals ein Plugin das gewisse Rcon Sicherheitslücken gedeckt hat,
ich kann das Plugin aber irgendwie nicht mehr finden.
Finde zur Zeit nur rcon_lock, es war aber ein anderes Plugin...

Zum Seitenanfang

BehaartesEtwas

Schüler

Beiträge: 111

Rootserver vorhanden: Ja

Mittwoch, 12. Januar 2011, 09:47

Re: Script-Kiddys nerven

rcon-Lücken sind ein anderes Thema, und so viel ich weiß sind die bekannten letztens von Valve gefixed worden.

zBlock bietet noch eine DoS-Schutz, das kann man sich auch so konfigurieren, dass es für Publics geeignet ist...

http://fpsmeter.org
http://wiki.fragaholics.de (Linux Kernel HOWTO!)
http://www.fragaholics.de

Bitte keine technischen Fragen per PM!

Zum Seitenanfang

Anubis

Profi

Beiträge: 769

Wohnort: Ulm

Mittwoch, 12. Januar 2011, 18:25

Re: Script-Kiddys nerven

Wenn sie über RCON was machen würden, müsste ja auch was in den Logs stehen oder nicht?

Zum Seitenanfang

DeaD_EyE

Administrator

Beiträge: 3 980

Wohnort: Hagen

Beruf: Mechatroniker (didaktische Systeme)

Rootserver vorhanden: Nein

Mittwoch, 12. Januar 2011, 18:51

Re: Script-Kiddys nerven

Nein, nicht unbedingt. Der Trick mit dem rcon_password hat z.B. dafür gesorgt, dass der Server selbst den Befehl x-mal ausgeführt hat und dann letztendlich zum Absturz führte (Wurde mal von Isias im Mani-Forum ausführlich erklärt). Schon irgendwie witzig, dass Valve mit dem Fixen solange gewartet hat. Normalerweise müssten die Scriptkiddys jeden Exploit an den Offiziellen Valve-Servern testen. So oft, bis Valve sich dem Problem endlich annimt. Ich bin auch generell für eine veröffentlichung solcher Exploits, auch wenn es nervtötend ist. So kommt es mehr zu Angriffen und Valve steht im Zugzwang. Machen sie nichts, laufen ihnen letztendlich die Spieler weg, weil es keine Server mehr gibt. Man muss sie immer dort treffen wo es weh tut. Das Hauptaugenmerk von Valve liegt immer noch bei den Public-Spielern. Würde die ESL sich z.B. zu Wort melden, wird Valve einen dicken Haufen drauf scheißen. Die fragen sich dann bestimmt, wer sind die eigentlich, die uns etwas vorschreiben wollen. Beschweren sich aber eine millionen Spieler muss Valve etwas unternehmen, da ansonsten noch mehr zu COD Black Ops und BFBC2 wechseln werden.

SkyRadar Youtube Channel - Die neue S7-1500 - Youtube-Kanal

Zum Seitenanfang

Koffein

Fortgeschrittener

Beiträge: 353

Rootserver vorhanden: Nein

Mittwoch, 12. Januar 2011, 20:27

Re: Script-Kiddys nerven

Also wir hatten damals das Problem, das wir schon einen ganz guten Hacker am Werk hatten. Es waren nur sehr selten LogEinträge zu finden. Zwar hatte ich eingestellt das einmal falsches Rcon direkt einen Bann gibt, doch was bringt dir das wenn dein Server mit tausend Anfragen pro Sec zugespammt wird. Durch das vorher erwähnte Plugin für Sourcemod konnten wir schließlich die Angriffe unterbinden und der Server lief wieder stabil. Es waren noch vereinzelnd Einträge in den LogFiles des Plugins zu finden aber im groben und ganzen war dann endlich Schluß.

Zum Seitenanfang

Anubis

Profi

Beiträge: 769

Wohnort: Ulm

Donnerstag, 13. Januar 2011, 08:54

Re: Script-Kiddys nerven

Meinst du dieses Plugin? http://forums.alliedmods.net/showthread.php?p=841590">http://forums.alliedmods.net/showthread.php?p=841590</a>
Falls ja werd ich das heute gleich mal testen. Hoffe damit wirds dann besser.