Server hackers actief?

[Ymosky]

Op het moment gebeurd het regelmatig dat iemand zichzelf admin kan maken en daarna de admins admin-off maakt en bant en de server gaat verpesten.

Ik heb het al gehoord van meerdere servers waar het gebeurd is.

In de server-logs is totaal NIET te vinden dat ze Rcon inloggen ofzo,

ook weet ik wel dat er programma's zijn om rcon login te hacken, maar daarmee zou je dat OOK in de server-logs zien.

Bovendien kunnen zulke programma's niet al te lange wachtwoorden aan.

De servers waarvan ik weet dat het gebeurde zijn PEN1 servers. Ik weet niet of dat er iets mee te maken heeft, maar het zou misschien kunnen?

Ik heb totaal geen idee meer hoe het zou kunnen. Misschien dat iemand een oplossing weet?

Toch niet echt leuke gedachte dat er dus gasten zijn die dus je hele server de vernieling in kunnen helpen :S en dus zowat een hele middag bezig geweest, alleen maar omdat er mensen zijn die het leuk vinden om iemand anders spel te verpesten

bvd, voor je hulp

mvg, Ymosky

[Azer]

Programma's om de rcon van een server mee te achterhalen? Om eerlijk te zijn nog nooit van gehoord, vooral niet omdat de officiele servers daar als eerste last van zouden moeten hebben. Wat eerder het geval zou kunnen wezen: een hack op de ftp, een te makkelijk te raden rcon of een admin die per toeval het rcon wachtwoord in de chat heeft getyped vanwege een typefoutje bij het inloggen oid.

Maar als ik het zo lees gebeurd het op je eigen server? Zo ja, heb je behalve de rcon ook nog andere manieren om adminrechten te krijgen op je server, bv. een adminfilterscript? Verander in elk geval even het rcon wachtwoord.

Voorderest als je alles goed op orde hebt zou ik me niet zo druk maken als ik jou was

[Simbad]

Mochten ze bij mij in de rcon kunnen komen en admins weghalen of mensen bannen dan word dat toch wel zeker gelogd... stelletje mietjes dat het zijn.

[Ymosky]

ff een paar puntjes:

- Niet mijn eigen server, server waar ik mede-beheerder van ben

- We draaien PEN1 script, en verder zitten er geen filterscripts in waarmee je admin zou kunnen worden.

- Grote punt is: Het gebeurd NIET via rcon. en het word NIET gelogd. Natuurlijk wel als ze admin-commands gebruiken, op basis daarvan heb ik verschillende mensen geband die ineens admin-wachtwoorden konden gebruiken.

- ftp hack.. hmm.. we hebben wel login op extern bureaublad op de server, maar ik kan me niet voorstellen dat dat gebeurd is omdat ik de hele dag erop gezeten heb, als er dan iemand anders opkomt zou mijn sessie beeindigd worden. Daarbij komt nog dat ALS je jezelf op die manier admin zou maken, dan zou je moeten reloggen om ook echt admin te zijn!. en dat zou dan ook weer gelogd worden bij het inloggen op de server

Hieronder even een kijkje in de serverlogs:

[14:49] [join]*naam* has joined the server *ip adres*
[14:50] *naam* has created an acount.
(hierna de blabla van acountgegevens die aangemaakt worden)
[14:50] *naam*has logged in
[14:50] *naam* has changed there password (9:1)

[14:50] [join] *naam* has joined the server (*ip adres*)
[14:51] *naam* has logged in
weer blabla van acountgegevens  (nog steeds alles normaal!!!)

En dan ineens:
[14:53] Admin: *naam* has promoted *andere naam* to a level 1338 admin

rara hoe kan dat....

Bewerkt: 14 december 2007 door Ymosky

[ikt]

Programma's om de rcon van een server mee te achterhalen? Om eerlijk te zijn nog nooit van gehoord, vooral niet omdat de officiele servers daar als eerste last van zouden moeten hebben. Wat eerder het geval zou kunnen wezen: een hack op de ftp, een te makkelijk te raden rcon of een admin die per toeval het rcon wachtwoord in de chat heeft getyped vanwege een typefoutje bij het inloggen oid.

Maar als ik het zo lees gebeurd het op je eigen server? Zo ja, heb je behalve de rcon ook nog andere manieren om adminrechten te krijgen op je server, bv. een adminfilterscript? Verander in elk geval even het rcon wachtwoord.

Voorderest als je alles goed op orde hebt zou ik me niet zo druk maken als ik jou was

Er zijn wel een hele hoop (!!) RCON retrievers, de nieuwste versie die ik tegengekomen ben is voor 0.2.2 (geen R2). Misschien iets om je wel druk over te maken? Het is gewoon een programma dat met een woordenlijst werkt. En die zoeken in die woordenlijst op welk ''wachtwoord'' goed is..

[Ymosky]

Er zijn wel een hele hoop (!!) RCON retrievers, de nieuwste versie die ik tegengekomen ben is voor 0.2.2 (geen R2). Misschien iets om je wel druk over te maken? Het is gewoon een programma dat met een woordenlijst werkt. En die zoeken in die woordenlijst op welk ''wachtwoord'' goed is..

Ik weet het, die heb ik zelf ook getest, maar dan zie je in de server-logs iedere keer als hij een verkeerd wachtwoord geeft een melding.

Bij mij is er totaal geen enkel spoor van te vinden

[Simbad]

en anticheat is enabled? (als dat het uberhoupt tegenhoud)

[Sandra]

Ik begreep laats (en Ymosky zegt het nu weer) dat het vooral bij PeNls-gamemodes gebeurd, misschien zit er in dat script wel een soort van 'lek'

[Azer]

Er zijn wel een hele hoop (!!) RCON retrievers, de nieuwste versie die ik tegengekomen ben is voor 0.2.2 (geen R2). Misschien iets om je wel druk over te maken? Het is gewoon een programma dat met een woordenlijst werkt. En die zoeken in die woordenlijst op welk ''wachtwoord'' goed is..

Ik maak me er pas druk over als er ook werkelijk aantoonbare bewijzen dat servers op deze manier "gehackt" worden. Voorzover is dat nog niet gaande en zeker niet omdat geen enkele officiele server er last van heeft. Mocht je jezelf er toch zorgen overmaken, neem even contact op het met SA:MP team.

Sowieso denk ik eerder dat het een fout in de gamemode is aangezien de persoon zichzelf toegang als admin verschaft zonder het rcon wachtwoord te gebruiken. Kijk de code van het script dus eerst eens na

[edit] Er is dus een PEN1 script verschenen met ongeveer het volgende in de OnPlayerConnect

new name[24];
getplayername(..)
if(strcmp(playername,"naam"))
giveadmin()

[Ymosky]

Serverhack via rcon kunnen we sowiezo uitsluiten aangezien dat in de server-logs te zien zou zijn.

Ik denk ook niet dat het is wat Azer hierboven zegt. Het script van de huidig draaiende game-mode heb ik niet, maar in eerdere game-modes die ik doorgekeken heb is het niet te vinden.

Volgens mij is dat ook iets wat pasgeleden verschenen is?

terwijl ons script nu iets van 9 maanden draait (is volgens mij zelfs origineel nog 0.1b en omgebouwd naar 0.2)

(Gewijzigd: laat maar, dacht dat ik iets gevonden had, toch niet zo)

In ieder geval iedereen bedankt voor reacties/info, als ik meer weet laat ik het wel horen.

groetjes Ymosky

Bewerkt: 15 december 2007 door Ymosky

[WackoX]

Server-hacks kan je niet uitsluiten,

Ik heb ooit op een site gezien dat je rcon kan hacken, ik weet hoe het moet maar ik doe het niet

Het is gewoon een programatje dat ze gebruiken.

[Azer]

Server-hacks kan je niet uitsluiten,

Ik heb ooit op een site gezien dat je rcon kan hacken, ik weet hoe het moet maar ik doe het niet

Het is gewoon een programatje dat ze gebruiken.

En als die tools bestaan waarom word er dan ook niet massaal gebruik van gemaakt? Het is gewoonweg onmogelijk om de packets van de rcon te sniffen, mocht je het tegendeel willen bewijzen pm mij dan maar even de links naar die website.

[Ymosky]

Server-hacks kan je niet uitsluiten,

Ik heb ooit op een site gezien dat je rcon kan hacken, ik weet hoe het moet maar ik doe het niet

Het is gewoon een programatje dat ze gebruiken.

Die "hack" is gewoon een BruteForce progamma. Je start het programmaatje en hij gaat allerlei mogelijke woorden als rcon password invoeren. maar.... bij IEDERE foute invoer zie jij in je serverlogs "BAD RCON ATTEMPT by ip-adres". Dat is bij ons niet het geval geweest.

Bovendien zijn die programmaatjes niet reuze-efficient, je moet maar net mazzel hebben dat het password in de lijst staat. En dat komt echt niet vaak voor als je een beetje redelijke pass hebt.

Of jij moet een prgramma weten wat je Rcon kan hacken ZONDER sporen na te laten? In dat geval hoor ik het graag, via PM ofzo?

En verder... In het script is niets gevonden helaas. We zullen maar moeten afwachten wat er gaat gebeuren.

mvg, Ymosky

[Ymosky]

Tsja.. beloofd is beloofd, als ik wat vond zou ik het zeggen

Ik ben er inmiddels achter hoe de server "gehackt" word. Het is alleen geen hack, maar gewoon misbruik maken van een bug in het penls script.

In het stukje server-log in mijn eerder topic is al te zien dat die gast zn wachtwoord veranderd, opnieuw inlogd en daarna admin is.

En dat klopt! Het is alleen een vrij ingewikkeld wachtwoord wat je dan in moet voeren, maar door de command-log weet ik het nu wel. Ik heb het zelf ook getest en het werkt nog ook.

Alleen, ik weet nog niet hoe en waar het in het script fout zit, dit zit toch vrij ingewikkeld in elkaar.

Als je zelf een Pen1 server hebt en zelf goed kunt scripten, stuur me maar een pm, dan stuur ik je alles wat ik erover weet. (Alleen als je ECHT zelf een pen1 server hebt!)

Ik post de details ervan ff niet hier omdat dit forum openbaar is, en het eerste wat je krijgt bij google als je SAMP rcon hack intypt is dit topic. Beter voorkomen dan genezen

groetjes Ymosky

EDIT:

Oeps.. sorry voor Dubbelpost :$ :$ , helemaal nie op gelet

Bewerkt: 18 december 2007 door Ymosky

[Azer]

Fijn om te weten dat het probleem in het script zit, alleen de vraag zit dit ook in het script wat te downloaden valt op het forum van SA:MP?