Перейти к содержимому


Фотография

Взлом сервера

взлом краш сервер

  • Авторизуйтесь для ответа в теме
Сообщений в теме: 22

#1 Yarius

Yarius

    Новичок

  • Пользователь
  • Pip
  • 13 сообщений

Отправлено 13 Март 2016 - 19:43

Доброго врмени суток, возможно некоторые слышали о Нероне ( https://vk.com/crashinyou ) - он занимается взломом серверов с помощью Dark light клиента. Мой сервер spigot 1.9 + bungee был взломан неизвестным образом. Все порты изменены на localhost, те открыт только 25565. Имеется лобби с авторизацией, ввиду сложности пароля отметаю факт подбора. Какие могут быть варианты? сервер на vds. Монитор к vds не подключен (диагональ сказать не смогу), модель процессора не знаю, пинали ли машину в дата центре тоже не знаю.

Заранее спасибо!


Сообщение отредактировал Yarius: 13 Март 2016 - 20:58


#2 Domenico

Domenico

    Пользователь

  • Пользователь
  • PipPipPip
  • 375 сообщений

Отправлено 13 Март 2016 - 20:18

Опки нефиг давать школьникам. Скорей всего банальная ситуация. Один из твоих Опов усановил их клиент и тупо сам отправил свой пароль злоумышленникам. Ну а дальше думаю объяснять не нужно что можно с опкой или повышенными правами с сервером сделать. Так что работай над безопасностью. 



#3 Yarius

Yarius

    Новичок

  • Пользователь
  • Pip
  • 13 сообщений

Отправлено 13 Март 2016 - 20:24

Опки нефиг давать школьникам. Скорей всего банальная ситуация. Один из твоих Опов усановил их клиент и тупо сам отправил свой пароль злоумышленникам. Ну а дальше думаю объяснять не нужно что можно с опкой или повышенными правами с сервером сделать. Так что работай над безопасностью. 

нет, опок ни у кого нет. Единственный чел,у которого есть '*', кроме меня и коллеги обладает неплохим паролем и ненастолько глуп, чтобы ставить этот клиент.


Сообщение отредактировал Yarius: 13 Март 2016 - 20:25


#4 Domenico

Domenico

    Пользователь

  • Пользователь
  • PipPipPip
  • 375 сообщений

Отправлено 13 Март 2016 - 20:25

Список плагинов скинь, может смогу сказать больше. 



#5 Yarius

Yarius

    Новичок

  • Пользователь
  • Pip
  • 13 сообщений

Отправлено 13 Март 2016 - 20:34

вот.

Прикрепленные файлы



#6 Domenico

Domenico

    Пользователь

  • Пользователь
  • PipPipPip
  • 375 сообщений

Отправлено 13 Март 2016 - 20:47

А по логам смотрел команды которые он вводил ?


Ip в личку скинь проверю кое что.



#7 Yarius

Yarius

    Новичок

  • Пользователь
  • Pip
  • 13 сообщений

Отправлено 13 Март 2016 - 21:05

А по логам смотрел команды которые он вводил ?


Ip в личку скинь проверю кое что.

смотрел. раздал опки друзьям, заходил за ники администраторов (мой и коллеги) со своего ip. Видимо, как-то обошел авторизацию. Потом дал группе юзеров * в пермишенс и по традиции засетил спавн.



#8 Domenico

Domenico

    Пользователь

  • Пользователь
  • PipPipPip
  • 375 сообщений

Отправлено 13 Март 2016 - 21:17

Ну это более тщательно смотреть логи нужно. Плагины твои визуально глянул, вроде Опасных нет. Но всё же некоторые плагины вызывают сомнение. Плагины с bakkit качал ? Сборки надеюсь не использовал ?


У меня тоже был случай, они же взломали. Проблема была в том, что один из совладельцев зашёл на какой то серв левый и спасил там пароль. Предположительно серв был именно вот этих героев. Ну и собсвенно зашёл под ним. так же опки раздал ну и как у тебя короч.



#9 Yarius

Yarius

    Новичок

  • Пользователь
  • Pip
  • 13 сообщений

Отправлено 13 Март 2016 - 21:24

Ну это более тщательно смотреть логи нужно. Плагины твои визуально глянул, вроде Опасных нет. Но всё же некоторые плагины вызывают сомнение. Плагины с bakkit качал ? Сборки надеюсь не использовал ?


У меня тоже был случай, они же взломали. Проблема была в том, что один из совладельцев зашёл на какой то серв левый и спасил там пароль. Предположительно серв был именно вот этих героев. Ну и собсвенно зашёл под ним. так же опки раздал ну и как у тебя короч.

На других серверах у меня пароли другие. плагины со spigotmc в основном, часть с dev bukkit.



#10 Domenico

Domenico

    Пользователь

  • Пользователь
  • PipPipPip
  • 375 сообщений

Отправлено 13 Март 2016 - 21:25

А " меня и коллеги обладает " Коллега ваш ?



#11 Yarius

Yarius

    Новичок

  • Пользователь
  • Pip
  • 13 сообщений

Отправлено 13 Март 2016 - 21:27

А " меня и коллеги обладает " Коллега ваш ?

да, конечно.



#12 Domenico

Domenico

    Пользователь

  • Пользователь
  • PipPipPip
  • 375 сообщений

Отправлено 13 Март 2016 - 21:30

Узнайте у него, не качал ли он какие либо лаунчеры. Это позволит отсеять этот вариант. 



#13 Yarius

Yarius

    Новичок

  • Пользователь
  • Pip
  • 13 сообщений

Отправлено 13 Март 2016 - 21:35

Узнайте у него, не качал ли он какие либо лаунчеры. Это позволит отсеять этот вариант. 

однозначно нет.



#14 Domenico

Domenico

    Пользователь

  • Пользователь
  • PipPipPip
  • 375 сообщений

Отправлено 13 Март 2016 - 21:41

Обойти авторизацию невозможно. Скорей всего пароль был всё таки спален. Ладно, если всё будет очень плохо скиньте логи, будет время гляну. Может чем то да помогу. По данным что вы дали очень трудно установить причину(Если вы конечно не ванга), можно лишь предположить. На практике ещё не разу не сталкивался с тем, что бы серв был взломан каким то магическим способом.  Дело всегда либо в кривой сборке, либо в сотрудниках сервера, которые пренебрегают правилами безопасности. 



#15 deadanykey

deadanykey

    Постоянный пользователь

  • Пользователь
  • PipPipPipPipPip
  • 3 387 сообщений

Отправлено 13 Март 2016 - 21:44

Не забывайте про подмену UUID (будь он неладен)...


Сообщение отредактировал deadanykey: 13 Март 2016 - 21:45


#16 Yarius

Yarius

    Новичок

  • Пользователь
  • Pip
  • 13 сообщений

Отправлено 13 Март 2016 - 22:34

Обойти авторизацию невозможно. Скорей всего пароль был всё таки спален. Ладно, если всё будет очень плохо скиньте логи, будет время гляну. Может чем то да помогу. По данным что вы дали очень трудно установить причину(Если вы конечно не ванга), можно лишь предположить. На практике ещё не разу не сталкивался с тем, что бы серв был взломан каким то магическим способом.  Дело всегда либо в кривой сборке, либо в сотрудниках сервера, которые пренебрегают правилами безопасности. 

Хорошо, спасибо.


Не забывайте про подмену UUID (будь он неладен)...

 

Слышал о таком способе. Не могли бы пояснить действия взломщика, подменяющего uuid? а то подробностей я не читал.



#17 deadanykey

deadanykey

    Постоянный пользователь

  • Пользователь
  • PipPipPipPipPip
  • 3 387 сообщений

Отправлено 13 Март 2016 - 22:47

Хорошо, спасибо.


 

Слышал о таком способе. Не могли бы пояснить действия взломщика, подменяющего uuid? а то подробностей я не читал.

При создании сессии на сервер отправляется админский UUID. Спец.клиенты есть такие. А так как сейчас все плагины работают с UUID, а не никами, то наш герой получает админские права, вне зависимости от ника.



#18 Yarius

Yarius

    Новичок

  • Пользователь
  • Pip
  • 13 сообщений

Отправлено 13 Март 2016 - 22:57

При создании сессии на сервер отправляется админский UUID. Спец.клиенты есть такие. А так как сейчас все плагины работают с UUID, а не никами, то наш герой получает админские права, вне зависимости от ника.

тогда как этого избежать?



#19 deadanykey

deadanykey

    Постоянный пользователь

  • Пользователь
  • PipPipPipPipPip
  • 3 387 сообщений

Отправлено 13 Март 2016 - 23:01

тогда как этого избежать?

Без понятия.

1. Свой лаунчер.

2. Сменить PEX на версию помоложе (которая UUID не использует).



#20 Yarius

Yarius

    Новичок

  • Пользователь
  • Pip
  • 13 сообщений

Отправлено 14 Март 2016 - 0:02

Без понятия.

1. Свой лаунчер.

2. Сменить PEX на версию помоложе (которая UUID не использует).

тогда бы крупнейшие проекты бы взламывались без проблем.





Темы с аналогичным тегами взлом, краш, сервер

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных