Server wurde gehackt, vorsicht.

TempletonPeck

Meister

Beiträge: 2 498

Wohnort: Schwelm

Beruf: Immobilien-Verwalter / Serveradministrator

Rootserver vorhanden: Nein

1

Montag, 15. September 2008, 20:27

Heute abend wurde unser Server gehackt. Die Hacker haben es irgendwie geschafft,
über die Voice Activity anderer Spieler nervige Music und Sounds abzuspielen, so
das wir im ersten Moment die unschuldigen Spieler gebannt haben.

Nach ca. 20 gebannten Spielern fielen uns auch 2 Cheater auf, die zeitgleich
den Server unsicher machten.

0-side of life STEAM_0:0:20307585
bogeye STEAM_0:0:11022059

Wahrscheinlich handelt es sich hierbei auch um die Hacker. Ich empfehle
deshalb jedem Serveradmin diese beiden Steam ID bei sich zu bannen.

Ich habe natürlich alle unschuldigen Spieler wieder entbannt sowie
das RCon PW geändert.

Ist schon hart, was sich die Blagen heutzutage ausdenken....

PS: Warum zum Geier kann ich die Steam IDÂ´s hier nicht posten?

Zum Seitenanfang

DeaD_EyE

Administrator

Beiträge: 3 980

Wohnort: Hagen

Beruf: Mechatroniker (didaktische Systeme)

Rootserver vorhanden: Nein

2

Montag, 15. September 2008, 20:33

Re: Server wurde gehackt, vorsicht.

Wurde von uns aus Sicherheitsgründen deaktiviert.

0-side of life STEAM_ 0:0:20307585
bogeye STEAM_ 0:0:11022059

Interessant wäre aus diesem Zeitraum ein kompletter auszug aus den Logdateien vom Server, Sourcemod und vielleicht noch anderen Plugins, die mitloggen.

SkyRadar Youtube Channel - Die neue S7-1500 - Youtube-Kanal

Zum Seitenanfang

TempletonPeck

Meister

Beiträge: 2 498

Wohnort: Schwelm

Beruf: Immobilien-Verwalter / Serveradministrator

Rootserver vorhanden: Nein

3

Montag, 15. September 2008, 20:37

Re: Server wurde gehackt, vorsicht.

Werde ich später heute mal posten. Danke fürÂ´s sichtbar machen, der IDÂ´s. right

Zum Seitenanfang

rain

Super Moderator

Beiträge: 1 410

Wohnort: Lutherstadt Wittenberg

Beruf: Anlagenmechaniker

Rootserver vorhanden: Ja

4

Montag, 15. September 2008, 21:18

Re: Server wurde gehackt, vorsicht.

Würde mich auch interessieren wie der log aussiehst das man in etwa sehen könnte ab wann und wie die an das rcon gekommen sind

Zum Seitenanfang

TempletonPeck

Meister

Beiträge: 2 498

Wohnort: Schwelm

Beruf: Immobilien-Verwalter / Serveradministrator

Rootserver vorhanden: Nein

5

Montag, 15. September 2008, 21:26

Re: Server wurde gehackt, vorsicht.

Sie haben es grade wieder versucht. Kamen mit Aimbot auf den Server und haben Namen angenommen, die schon vergeben waren. In der Liste waren also manche Spieler 2mal da. Im Admin Menu aber immer nur einer, so dass man wahrscheinlich aus dem Menu heraus immer den falschen gebannt hätte.

Per HLSW gings dann aber problemlos da ich dort genau sehen konnte, wer nun abartige Stats hatte und sofort bannen konnte. Ich glaub das war aber nicht das letzte Mal heut abend.

Zum Seitenanfang

DeaD_EyE

Administrator

Beiträge: 3 980

Wohnort: Hagen

Beruf: Mechatroniker (didaktische Systeme)

Rootserver vorhanden: Nein

6

Montag, 15. September 2008, 21:33

Re: Server wurde gehackt, vorsicht.

Hm, mal hoffen, dass es kein Engine-Bug ist. HAst du schon das Rcon-PW mal geändert?

SkyRadar Youtube Channel - Die neue S7-1500 - Youtube-Kanal

Zum Seitenanfang

TempletonPeck

Meister

Beiträge: 2 498

Wohnort: Schwelm

Beruf: Immobilien-Verwalter / Serveradministrator

Rootserver vorhanden: Nein

7

Montag, 15. September 2008, 21:45

Re: Server wurde gehackt, vorsicht.

Jupp, steht ja im ersten Beitrag.

Glaube aber mittlerweile nicht mehr das die überhaupt das RCON hatten, da die beiden Aktionen MIT Änderung des PWs sehr kurz auseinander lagen. So schnell kommen die doch nicht wieder ans neue PW oder?

Zum Seitenanfang

DeaD_EyE

Administrator

Beiträge: 3 980

Wohnort: Hagen

Beruf: Mechatroniker (didaktische Systeme)

Rootserver vorhanden: Nein

8

Montag, 15. September 2008, 22:16

Re: Server wurde gehackt, vorsicht.

Hm, echt komisch. Selbst wenn er das Rcon hätte, wie kann er über die Voice-Activation anderer Spieler aktivieren. Vielleicht finde ich dazu was in der HLDS-Mailing-List oder im Cheat-Forum.

SkyRadar Youtube Channel - Die neue S7-1500 - Youtube-Kanal

Zum Seitenanfang

TempletonPeck

Meister

Beiträge: 2 498

Wohnort: Schwelm

Beruf: Immobilien-Verwalter / Serveradministrator

Rootserver vorhanden: Nein

9

Montag, 15. September 2008, 22:18

Re: Server wurde gehackt, vorsicht.

Einige Spieler kamen nach der ersten Aktion zu uns ins TS und erzählten wie sie sich selber haben aufleuchten sehen und die Musik gehört haben, so als wenn sie es abspielen würden. Denen war dann schon klar, das sie auch fliegen würden obwohl sie selber nix gemacht haben. Schon hart.

Ich denke die Basis ist ein Namescript. Der Hacker nimmt den Namen eines anderen an und somit sieht es aus als wenn der ehrliche Spieler Cheatet/Voicespamt etc....

Wenn man als Admin aber den Unhold bannt und den Namen aus dem Admin Menu als Orientierung nimmt, erwischt man irgendwie immer den falschen/originalen Spieler, da

1. der Name nur EINMAL im Menu ( nicht in der Serverliste ) vorhanden ist
2. immer der Original Spieler von Admin Aktion via Menu betroffen ist.

Zum Seitenanfang

Chrisber

Administrator

Beiträge: 1 030

Wohnort: localhost

Rootserver vorhanden: Ja

10

Dienstag, 16. September 2008, 15:57

Re: Server wurde gehackt, vorsicht.

Es gibt leider seit einiger Zeit einen Bug in der SE der es ermöglicht, unsichtbar auf dem Server zu sein,
d.H. man kann sie nicht im Voice muten, nicht in der Spielerliste sehen, ihre Models sieht man aber.

Das Problem ist, dass die SE den Index vom aktuellen Spieler greifen will, sie aber durch den Bug nicht findet und den nächstmöglichen Index benutzt, was dann eben der von den Unschuldigen Spielern war (Vermutun, habe ich aber schon ein paar mal getestet, und es war immer der nächst höhere Index), dies trifft eben auf alles zu (auch das Adminmenü).

Die Spieler konnten vermutlich über einen Bug von EventScripts Zugriff erlangen, ich weiß jetzt nicht, welche Version du installiert hast, solltest wenn ja, aber dringend auf 2.0.248c updaten.
Quelle: http://forums.mattie.info/cs/forums/viewtopic.php?t=25433">http://forums.mattie.info/cs/forums/vie ... hp?t=25433</a>
Download: http://mattie.net/downloads/mattie_eventscripts_200beta248c.zip">http://mattie.net/downloads/mattie_even ... ta248c.zip</a> (http://mattie.info/cs/">http://mattie.info/cs/</a>)

So hatten sie vielleicht das Glück, 2 Bugs zur ungünstigen Zeit gleichzeitig auszunutzen.
Viel Glück beim beseitigen der Cheater!

PS: Habe den Bug vor einiger Zeit an VALVe gesandt, hoffentlich fixen die das bald

So long, Chris

Und das letzte, was gesagt wird, wenn die Welt untergeht, ist: das ist technisch unmöglich.

Zum Seitenanfang

TempletonPeck

Meister

Beiträge: 2 498

Wohnort: Schwelm

Beruf: Immobilien-Verwalter / Serveradministrator

Rootserver vorhanden: Nein

11

Dienstag, 16. September 2008, 17:55

Re: Server wurde gehackt, vorsicht.

Hey danke für die nützliche Antwort, denn es war genauso wie du geschildert hast. Man sah die Spielermodels aber konnte nicht per AdminMenu auf sie zugreifen. Allein HLSW erkannte die doppelten Spieler und von dort aus konnte man auch erfolgreich bannen. Ich werde die neuesten ES direkt installieren - wusste gar nicht das ich nicht die aktuellste Version hatte.

Zum Seitenanfang

Chrisber

Administrator

Beiträge: 1 030

Wohnort: localhost

Rootserver vorhanden: Ja

12

Dienstag, 16. September 2008, 19:57

Re: Server wurde gehackt, vorsicht.

Hi.
Hier habe ich mal schnell ein Script geschrieben was solche Leute fernhalten sollte.

Ich habe so ziemlich alles eingebaut was möglich ist!

Quellcode

import es

text = "Bugusing of names is not allowed"

def load():
	for spieler in es.getUseridList():
		checkName(spieler)

def player_activate(event_var):
	checkName(event_var["userid"])

def player_changename(event_var):
	checkName(event_var["userid"])

def player_spawn(event_var):
	checkName(event_var["userid"])

def round_start(event_var):
	for spieler in es.getUseridList():
		checkName(spieler)

def checkName(userid):
	userid = int(userid)
	username = es.getplayername(userid)
	
	if username == "" or strlen(username) in [0, 1] or username == "unconnected":
		es.server.queuecmd("banid 0 %i" % userid)
		es.server.queuecmd("kickid %i %s" % (userid, text))
		es.server.queuecmd("writeid")

Nach "addons/eventscripts/antibug/antibug.py" (erstellen) und dann noch in die "cfg/server.cfg" oder "cfg/autoexec.cfg" folgendes schreiben:

	Quellcode
1	es_xload antibug

Den Text kannst du noch anpassen, der Spieler wird für immer gebannt und dann gekickt

So long, Chris

Und das letzte, was gesagt wird, wenn die Welt untergeht, ist: das ist technisch unmöglich.

Zum Seitenanfang

TempletonPeck

Meister

Beiträge: 2 498

Wohnort: Schwelm

Beruf: Immobilien-Verwalter / Serveradministrator

Rootserver vorhanden: Nein

13

Dienstag, 16. September 2008, 20:11

Re: Server wurde gehackt, vorsicht.

Ja geil. Wie arbeitet das Script denn genau? Würde mich interessieren ob man denn ab und zu seinen Namen wechseln kann ( was ja mal jeder irgendwann macht ) oder ob es gar keine Name Changes zulässt (was ja sehr strikt wäre ). Ich fänds ja gut wenn bei wirklich exzessivem Namechange ( so wies die Hacker ja auch machen ) eingegriffen wird - die wechseln nämlich den Namen alle etwa alle 5-10 Sekunden

Zum Seitenanfang

Chrisber

Administrator

Beiträge: 1 030

Wohnort: localhost

Rootserver vorhanden: Ja

14

Dienstag, 16. September 2008, 20:34

Re: Server wurde gehackt, vorsicht.

Hi.
Das Ding prüft eigentlich nur, ob der Name = 0 ist, also unconnected

Wenn das zutrifft, gibts einen Bann

So long, Chris

Und das letzte, was gesagt wird, wenn die Welt untergeht, ist: das ist technisch unmöglich.

Zum Seitenanfang

TempletonPeck

Meister

Beiträge: 2 498

Wohnort: Schwelm

Beruf: Immobilien-Verwalter / Serveradministrator

Rootserver vorhanden: Nein

15

Dienstag, 16. September 2008, 23:58

Re: Server wurde gehackt, vorsicht.

Achsoooo..ja geil - vielen Dank, ich hau das Vieh gleich mal druff.

Zum Seitenanfang

rain

Super Moderator

Beiträge: 1 410

Wohnort: Lutherstadt Wittenberg

Beruf: Anlagenmechaniker

Rootserver vorhanden: Ja

16

Mittwoch, 17. September 2008, 08:09

Re: Server wurde gehackt, vorsicht.

nur schade das ES bei mir keine py scripte erkennt

Zum Seitenanfang

TempletonPeck

Meister

Beiträge: 2 498

Wohnort: Schwelm

Beruf: Immobilien-Verwalter / Serveradministrator

Rootserver vorhanden: Nein

17

Mittwoch, 17. September 2008, 13:14

Re: Server wurde gehackt, vorsicht.

??

Also ab EventScripts v2.0.0.247, wenn nicht sogar schon früher wurde ES auf Python
umgestellt. Wenn du jetzt also die aktuellste Version EventScripts v2.0.0.248 drauf-
haust müsste es auf jeden Fall klappen.

Zum Seitenanfang

rain

Super Moderator

Beiträge: 1 410

Wohnort: Lutherstadt Wittenberg

Beruf: Anlagenmechaniker

Rootserver vorhanden: Ja

18

Mittwoch, 17. September 2008, 14:34

Re: Server wurde gehackt, vorsicht.

ich hab die aktuellste drauf und ich bekomm immer ein fehler beim laden der py scripte! Aber dazu hab ich schon ein thread eröffnet wo ich das Problem beschrieben hab.

Zum Seitenanfang

Isias

Fortgeschrittener

Beiträge: 460

Beruf: Student

19

Donnerstag, 18. September 2008, 12:47

Re: Server wurde gehackt, vorsicht.

Der Unconnceted Bug (basierend auf einer Ausnutzung des Befehls [Zensiert] und retry, welche beides Standardbefehle der SourceEngine 07 sind) sollte Valve sicherlich seit langem bekannt sein. Das hat aber eigentlich nichts mit Eventscripts zu tun, sondern liegt an einem Bug in der "alten" Sourceengine auf der nur noch Cs:S und HL2 basieren. Dies ermöglicht unter anderem das die Spieler in der Mute Option nicht angezeigt werden. Dagegen kann das oben genannte Script abhilfe schaffen.

Aber das worauf oben angespielt wird ist ein Bug in EventScriptTOOLS, nicht in Eventscripts von Mattie. Wenn also der Exploit auf ESTools basiert, sollte es reichen derzeit die .vtm für ESTools zu löschen und die Scripts auszuschalten die Funktionen von ESTools benötigen. Oder man versucht die von Venjax gepostete Lösung

	Quellcode
1	eventscripts_maphandler 0

in die autoexec.cfg einzufügen um zu verhindern das ESTools Zugriff auf bestimmte ES Funktionen erhält.

Also kann man erstmal entwarnung geben, da es stark bezweifelt werden kann das dein RCon Passwort herausgefunden wurde, du hast nur 2 lustige Gesellen erwischt, welche 2 Bugs gleichzeitig ausgenutzt haben. Im Zweifel kann man ja bei sowas immer per

	Quellcode
1	sv_voiceenable 0

erstmal Voicespeech für den Server abschalten um das Spamming zu unterbinden und dann per HLSW oder Statusabfrage ermitteln wer nun genau Schindluder treibt. Die SteamID der jeweiligen Person wird nämlich weiterhin korrekt angezeigt, sofern dieser nicht über ein Netzwerkcafe online geht.

PAGC Clanhomepage

Zum Seitenanfang

Chrisber

Administrator

Beiträge: 1 030

Wohnort: localhost

Rootserver vorhanden: Ja

20

Donnerstag, 18. September 2008, 13:33

Re: Server wurde gehackt, vorsicht.

Entweder eventscripts_maphandler auf 0, oder 2.0.248c installieren

Die Lücke hat nichts, wie erst angenommen, mit ESTools zu tun

@ Isias: Habe den Befehl entfernt..

So long, Chris

Und das letzte, was gesagt wird, wenn die Welt untergeht, ist: das ist technisch unmöglich.

Zum Seitenanfang

sourceserver.info