Script-Kiddys nerven

Anubis

Professional

Posts: 769

Location: Ulm

1

Monday, January 10th 2011, 1:53pm

Hi,

seit gestern morgen habe ich mit drei Kiddys Probleme die meinen Server immer wieder zum laggen bringen. Die kamen bei uns auf den Server, zuerst war auch alles normal, bis die ihre Hacks eingeschaltet haben. Wallhack, Aimbot, .... das volle Programm. Zwei unserer Member haben die Typen dann mehrfach gekickt (die haben keine Ban-Rechte). Dann gings erst richtig los. Nach einigen verbalen Entgleisungen sagte einer von denen er geht jetzt und hackt den Server. Dann gings gelagge los. Nach ein paar Minuten war wieder ruhe. Gestern Mittag habe ich sie dann gebannt. Als sie dies einige Stunden später merkten ging wieder das gelagge los. Ein paar Stunden später wieder.

Hat jemand von euch eine Idee wie ich es verhindern kann, dass die meine Server zum laggen bringen?
Wie mach das die Noobs eigentlich??? Es steht nichts in den Logs.

Sie haben es auch schon auf unsere Homepage abgesehen. Bisher kam es allerdings noch zu keinen Ausfällen, da der Server recht gut ist und die Anfragen bisher bewältigen konnte.

Gibt es eigentlich eine Möglichkeit die Adresse anhand einer IP herauszufinden??? Ich würde die gerne mal besuchen gehen.

Hoffe ihr könnt mir da weiterhelfen.

Viele Grüße

Anubis

Go to the top of the page

Koffein

Intermediate

Posts: 353

wcf.user.option.userOption53: Nein

2

Monday, January 10th 2011, 1:59pm

Re: Script-Kiddys nerven

Wir hatten das gleiche Problem damals,
dabei waren es aber nicht irgendwelche Kiddies sondern gezielte Angriffe gegen uns...

Kannst du mir mal eine kurze Info über die Plugins geben die bei dir laufen,
dann könnte ich dir vielleicht sagen wie du es fixen kannst...

Go to the top of the page

DeaD_EyE

Administrator

Posts: 3,980

Location: Hagen

Occupation: Mechatroniker (didaktische Systeme)

wcf.user.option.userOption53: Nein

3

Monday, January 10th 2011, 2:22pm

Re: Script-Kiddys nerven

PRobier mal dieses Firewallscript aus: http://www.vanillatf2.org/2011/01/fighting-dos-attacks/">http://www.vanillatf2.org/2011/01/fighting-dos-attacks/</a>

SkyRadar Youtube Channel - Die neue S7-1500 - Youtube-Kanal

Go to the top of the page

rain

Super Moderator

Posts: 1,410

Location: Lutherstadt Wittenberg

Occupation: Anlagenmechaniker

wcf.user.option.userOption53: Ja

4

Monday, January 10th 2011, 3:00pm

Re: Script-Kiddys nerven

Hast du Daf0.4 vllt schon auf dein Server? Wenn nein dringend empfohlen es zu installieren da dies schon einige DOS Attacken abhält.

http://sourceserver.info/wiki/daf">wiki/daf<

Go to the top of the page

DeaD_EyE

Administrator

Posts: 3,980

Location: Hagen

Occupation: Mechatroniker (didaktische Systeme)

wcf.user.option.userOption53: Nein

5

Monday, January 10th 2011, 9:04pm

Re: Script-Kiddys nerven

Source code

#!/bin/bash

#Path to iptables
IPTABLES='/sbin/iptables'

# Default rule for established connections
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Put IPs you want to allow bypassing all these rules here
#$IPTABLES -A INPUT -s my_ip_here -j ACCEPT

# Local connections
$IPTABLES -A INPUT -s 127.0.0.1 -j ACCEPT

# Ports Game - SRCDS + SourceTV + Query
PORTS='27015:30000'

# Drop DOS exploit packages for SRCDS games
$IPTABLES -A INPUT -p udp -m udp --dport $PORTS -m string --algo bm --hex-string '|ffffffff54|' -m limit --limit 20/s -j ACCEPT
$IPTABLES -A INPUT -p udp -m udp --dport $PORTS -m string --algo bm --hex-string '|ffffffff54|' -j DROP

Geht so bei rain. So sind die Port 27015 bis 30000 geschützt.

SkyRadar Youtube Channel - Die neue S7-1500 - Youtube-Kanal

Go to the top of the page

Anubis

Professional

Posts: 769

Location: Ulm

6

Tuesday, January 11th 2011, 11:28am

Re: Script-Kiddys nerven

@ Koffein: Bei mir laufen MetaMod und SourceMod + SourceMod-Plugins. Alle Plugins auf dem akutellen stand.

@ DeaD_EyE: Gute Idee, aber leider habe ich doch keinen Rootzugriff, ist doch nur ein gemieteter Gameserver. Rest siehe @rain

@ rain: Also laut NGZ machen die das nicht über einen DDOS Angriff sondern wohl eher über eine Sicherheitslücke im HL2-Server. Der Supporter meinte, dass über einige dieser Lücken wohl gerade in der Maillinglist diskutiert wird. Wenn die das über DDOS gemacht hätten, währen bei NGZ irgendwelche Alarme ausgelöst worden.
Das Plugin habe ich nicht mehr drauf. Ich hatte es mal drauf, hatte aber dann Probleme. Der Server ließ sich nicht mehr starten. Nach einigen Versuchen hab ichs wieder deaktiviert, seither startet er ohne Probleme. Hast du das Plugin drauf und funktioniert?

Kann ich es irgendwie verhindern, dass die solche Sicherheitslücken ausnutzen?
Laut dem Supporter können die da nix tun. Damit will ich mich aber nicht zufrieden geben und selber danach schauen.

Go to the top of the page

Terrorkarotte

Super Moderator

Posts: 708

7

Tuesday, January 11th 2011, 12:03pm

Re: Script-Kiddys nerven

Dead_eys Lösung ist die von der Liste, aus besagter Diskussion und soll die Packete filtern, die dafür bekannt sind, dass sie Schwachstellen in HL2 ausnutzen.
Sie ist somit kein DDos Schutz, sondern einfach nur ein Packtefilter, wenn zu viele dieser Art auf einmal ankommen (mehr als 20/sekunde).

Webbasierender Config Ersteller: www.ulrich-block.de für CS 1.6, CSS, DODS und TF2.

Ebenso wird werden verschiedene Debian Gameserverkernel zum Download angeboten.

Go to the top of the page

Koffein

Intermediate

Posts: 353

wcf.user.option.userOption53: Nein

8

Tuesday, January 11th 2011, 2:49pm

Re: Script-Kiddys nerven

Also bei mir gab es damals Probleme weil die Leute verschiedene Cmds gespammt hatten
und somit Admin Rechte erhielten, war aber glaube ich mit Mani damals...
Hatte dann damals komplett auf Source/Metamod + Eventscripts gewechselt.

Für Sourcemod gab es damals ein Plugin das gewisse Rcon Sicherheitslücken gedeckt hat,
ich kann das Plugin aber irgendwie nicht mehr finden.
Finde zur Zeit nur rcon_lock, es war aber ein anderes Plugin...

Go to the top of the page

BehaartesEtwas

Trainee

Posts: 111

wcf.user.option.userOption53: Ja

9

Wednesday, January 12th 2011, 9:47am

Re: Script-Kiddys nerven

rcon-Lücken sind ein anderes Thema, und so viel ich weiß sind die bekannten letztens von Valve gefixed worden.

zBlock bietet noch eine DoS-Schutz, das kann man sich auch so konfigurieren, dass es für Publics geeignet ist...

http://fpsmeter.org
http://wiki.fragaholics.de (Linux Kernel HOWTO!)
http://www.fragaholics.de

Bitte keine technischen Fragen per PM!

Go to the top of the page

Anubis

Professional

Posts: 769

Location: Ulm

10

Wednesday, January 12th 2011, 6:25pm

Re: Script-Kiddys nerven

Wenn sie über RCON was machen würden, müsste ja auch was in den Logs stehen oder nicht?

Go to the top of the page

DeaD_EyE

Administrator

Posts: 3,980

Location: Hagen

Occupation: Mechatroniker (didaktische Systeme)

wcf.user.option.userOption53: Nein

11

Wednesday, January 12th 2011, 6:51pm

Re: Script-Kiddys nerven

Nein, nicht unbedingt. Der Trick mit dem rcon_password hat z.B. dafür gesorgt, dass der Server selbst den Befehl x-mal ausgeführt hat und dann letztendlich zum Absturz führte (Wurde mal von Isias im Mani-Forum ausführlich erklärt). Schon irgendwie witzig, dass Valve mit dem Fixen solange gewartet hat. Normalerweise müssten die Scriptkiddys jeden Exploit an den Offiziellen Valve-Servern testen. So oft, bis Valve sich dem Problem endlich annimt. Ich bin auch generell für eine veröffentlichung solcher Exploits, auch wenn es nervtötend ist. So kommt es mehr zu Angriffen und Valve steht im Zugzwang. Machen sie nichts, laufen ihnen letztendlich die Spieler weg, weil es keine Server mehr gibt. Man muss sie immer dort treffen wo es weh tut. Das Hauptaugenmerk von Valve liegt immer noch bei den Public-Spielern. Würde die ESL sich z.B. zu Wort melden, wird Valve einen dicken Haufen drauf scheißen. Die fragen sich dann bestimmt, wer sind die eigentlich, die uns etwas vorschreiben wollen. Beschweren sich aber eine millionen Spieler muss Valve etwas unternehmen, da ansonsten noch mehr zu COD Black Ops und BFBC2 wechseln werden.

SkyRadar Youtube Channel - Die neue S7-1500 - Youtube-Kanal

Go to the top of the page

Koffein

Intermediate

Posts: 353

wcf.user.option.userOption53: Nein

12

Wednesday, January 12th 2011, 8:27pm

Re: Script-Kiddys nerven

Also wir hatten damals das Problem, das wir schon einen ganz guten Hacker am Werk hatten. Es waren nur sehr selten LogEinträge zu finden. Zwar hatte ich eingestellt das einmal falsches Rcon direkt einen Bann gibt, doch was bringt dir das wenn dein Server mit tausend Anfragen pro Sec zugespammt wird. Durch das vorher erwähnte Plugin für Sourcemod konnten wir schließlich die Angriffe unterbinden und der Server lief wieder stabil. Es waren noch vereinzelnd Einträge in den LogFiles des Plugins zu finden aber im groben und ganzen war dann endlich Schluß.

Go to the top of the page

Anubis

Professional

Posts: 769

Location: Ulm

13

Thursday, January 13th 2011, 8:54am

Re: Script-Kiddys nerven

Meinst du dieses Plugin? http://forums.alliedmods.net/showthread.php?p=841590">http://forums.alliedmods.net/showthread.php?p=841590</a>
Falls ja werd ich das heute gleich mal testen. Hoffe damit wirds dann besser.