Сообщений в теме: 154

[BloodyBlade]

Именно, но, кстати говоря, на последний описанный тобой баг, фикс уже есть. Вроде что-то типа Pummel glitch fix. Но официального названия я не помню.

https://forums.allie...ad.php?t=284622 ?

[8rutu5]

https://forums.allie...ad.php?t=284622 ?

 

Да, он.

[BloodyBlade]

Да, он.

Хм. Не натыкался на него ранее, либо, натыкался, когда еще не было версус сервера, но, забыл про него позже. Спасибо, что напомнил.

[KRUTIK]

.

Сообщение отредактировал KRUTIK: 19 Май 2020 - 13:14

[DevC++]

https://forums.allie...ad.php?t=284622 ?

 

Да, он.

 

Хм. Не натыкался на него ранее, либо, натыкался, когда еще не было версус сервера, но, забыл про него позже. Спасибо, что напомнил.

 

.

 

Этот плагин больше не актуален, он устарел после обновления The last stand. Можете его смело удалять  .

Сообщение отредактировал DevC++: 24 Август 2021 - 21:50

[dr_lex]

Нужны добровольцы (админы), которые мучаются от взломов админки на свои серверах. Надо проверить мой плагин защиты (можно не только l4d2, но и по другим играм на source)

[dr_lex]

Нужны добровольцы (админы), которые мучаются от взломов админки на свои серверах. Надо проверить мой плагин защиты (можно не только l4d2, но и по другим играм на source)

Ну видимо это не актуально) Значит и не для паблика, тест закрыт!

Сообщение отредактировал dr_lex: 04 Сентябрь 2021 - 13:19

[dragokas]

Я для себя давно написал [ANY] Admins simple two-factor authentification

Работает исправно.

 

Как другие для себя решают вопрос, не знаю. Может, не в курсе этой проблемы просто )

А для серверов L4D1 в паблике эксплойта нету.

[Accelerator]

Ну видимо это не актуально) Значит и не для паблика, тест закрыт!

Смысла в этом нет. Поставьте в rev.ini Check_Ticket = True и подмен SteamID не будет. Почти все пиратские клиенты игры (спасибо обновам ) используют новый steamclient и проблем с подключением у них не возникает. Нет сейчас никакого смысла держаться за тех, кто не обновился, их очень очень мало, а потому, нет смысла и изобретать костыль.

Сообщение отредактировал Accelerator: 05 Сентябрь 2021 - 15:33

[dr_lex]

Смысла в этом нет. Поставьте в rev.ini Check_Ticket = True и подмен SteamID не будет. Почти все пиратские клиенты игры (спасибо обновам ) используют новый steamclient и проблем с подключением у них не возникает. Нет сейчас никакого смысла держаться за тех, кто не обновился, их очень очень мало, а потому, нет смысла и изобретать костыль.

Это скорее просто интерес, который проверяю на втором сервере. Первый как и был лицензионный.

Как показало время игроки на лицензии более адекватные чем на пиратке) и более новые читы так же меняют steam id

Сообщение отредактировал dr_lex: 05 Сентябрь 2021 - 16:47

[AlexMy]

И так столкнулся с такой проблемой. Хакнули админку у меня... Принципиально сравнил steam id чудика с steam id моих админов.  Нечего общего даже и не нашёл... Как так вообще, кто сталкивался с таким? Пришлось писать срочняком костыль, и вносить список всех своих админов, а остальные кто имеет доступ к флагу кикать при подключение...

[dragokas]

И так столкнулся с такой проблемой. Хакнули админку у меня... 

 

В чём это проявляется?

У тебя пиратка? Какая часть игры?

Принципиально сравнил steam id чудика с steam id моих админов.  Нечего общего даже и не нашёл... 

 

Это ни о чём не говорит. Если он его подменил, то ничего не мешает подменить его еще раз после подключения, когда у тебя происходит логирование.

Чудес не бывает, админку выдаёт, либо плагин admin-simple (сравнивающий SteamId), либо любой другой, имеющий такой функционал по выдаче прав / смене прав на команды и открытую уязвимость.

У тебя либо подмена, либо баг в одном из плагинов, либо ломанули доступ к самому серваку. Смотри даты последней модификации файлов.

Сообщение отредактировал dragokas: 12 Сентябрь 2021 - 2:00

[AlexMy]

В чём это проявляется?

У тебя пиратка? Какая часть игры?

L4D2, no-steam. Просто подключился с доступу root. Пацанёнок прошаренный судя по всему оказался. Знал дефолтные команды SM, как поставить бан и снять бан ну и тд. 

 

Это ни о чём не говорит. Если он его подменил, то ничего не мешает подменить его еще раз после подключения, когда у тебя происходит логирование.

Чудес не бывает, админку выдаёт, либо плагин admin-simple (сравнивающий SteamId), 

 

Это ни о чём не говорит. Если он его подменил, то ничего не мешает подменить его еще раз после подключения, когда у тебя происходит логирование.

Чудес не бывает, админку выдаёт, либо плагин admin-simple (сравнивающий SteamId)

 

Ну у меня самым простым способов в admins_simple.ini всё прописано по steam id.  

 либо любой другой, имеющий такой функционал по выдаче прав / смене прав на команды и открытую уязвимость.

У тебя либо подмена, либо баг в одном из плагинов, либо ломанули доступ к самому серваку. Смотри даты последней модификации файлов.

Поясни, какой другой? SM что-то ещё есть? 

[dragokas]

Ну у меня самым простым способов в admins_simple.ini всё прописано по steam id.  

 

Да любой другой плагин, криво выставляющий плава на команды может быть причиной.

В том же sourcebans вообще встроен функционал создания новых админ. юзеров.

Я не помню, можно ли админов создавать напрямую прямо из веб-панели.

Если да, то под JS и MySQL найти незакрытую уязвимость гораздо проще и взломать вас прямо через сайт,

особенно если ни он, ни сам плагин давно не обновлялись.

 

Сам уже давным давно отказался от него, вручную прописываю баны.

Если же хочется sb, то хотя бы что-то по-новее типа sb++ и соответственно обновлённую web-часть.

 

Как минимум, в добавок:

1) скройте список используемых вами плагинов

2) поставьте мой плагин двух-факторной аутентификации по ip (ссылка выше).  Шанс, что подменят ещё и ip меньше, особенно, если не знают, какая именно защита стоит.

3) проверьте configs/core.cfg - должно стоять "SteamAuthstringValidation" "yes"

Ну и совет выше от Accelerator.

Если это не поможет, то взлом, явно не через подмену.

[AlexMy]

Да любой другой плагин, криво выставляющий плава на команды может быть причиной.

В том же sourcebans вообще встроен функционал создания новых админ. юзеров.

Я не помню, можно ли админов создавать напрямую прямо из веб-панели.

Если да, то под JS и MySQL найти незакрытую уязвимость гораздо проще и взломать вас прямо через сайт,

особенно если ни он, ни сам плагин давно не обновлялись.

 

Сам уже давным давно отказался от него, вручную прописываю баны.

Если же хочется sb, то хотя бы что-то по-новее типа sb++ и соответственно обновлённую web-часть.

 

Как минимум, в добавок:

1) скройте список используемых вами плагинов

2) поставьте мой плагин двух-факторной аутентификации по ip (ссылка выше).  Шанс, что подменят ещё и ip меньше, особенно, если не знают, какая именно защита стоит.

3) проверьте configs/core.cfg - должно стоять "SteamAuthstringValidation" "yes"

Ну и совет выше от Accelerator.

Если это не поможет, то взлом, явно не через подмену.

Спасибо за советы.

[dr_lex]

Спасибо за советы.

Скорее проблема в STEAM ID подмене.

У меня на втором сервере была попытка зайти под моим STEAM ID, Правда защита сработала.

L 09/12/2021 - 01:41:14: Status: FreeTP Org -> No Staem id STEAM_1:1:24139746, IP 178.65.26.183:27005

В принципе если такая проблема то я могу дать свою защиту которую делаю, правда в ней есть плюсы и минусы.

Сообщение отредактировал dr_lex: 12 Сентябрь 2021 - 16:22

[AlexMy]

 попытка зайти под моим STEAM ID, 

 

Дело в том что я банил, он следом заходил под другим steam id и с доступом root. Ну я сравнил бан лист steam id, с steam id админов нечего общего нет. Даже не понимаю, как это возможно. Даже если добавлять себя в админы, всё ровно нужно иметь доступ чтоб перезагрузить список админов или хотя бы сменить карту. 

Вот я накидал костыль. Пинать всех админов, кого не в нёс: 

#pragma semicolon 1

#include <sourcemod>
#include <sdktools>



public void OnClientPostAdminCheck(int client)
{
	if(client != 0 && !IsFakeClient(client))
	{
		if(ID_Steam(client) && GetUserFlagBits(client) > 0)
		{
			KickClient(client);
		}
	}
}

public bool ID_Steam(int client)
{
	char Steamid[164];
	GetClientAuthId(client, AuthId_Steam2, Steamid, sizeof(Steamid));
	if (StrEqual(Steamid, "STEAM_1:0:Реального админа", false))
	{
		return false;
	}
	return true;
}

[dragokas]

А если он получает права уже после OnClientPostAdminCheck?

Сообщение отредактировал dragokas: 12 Сентябрь 2021 - 17:54

[AlexMy]

А если он получает права уже после OnClientPostAdminCheck?

Хм, это идея. Писал на скорую руку, особа не задумывался... Тестировал на себе, вроде работает не плохо. В какой момент подключение права выдаются вообще? OnClientPostAdminCheck примерно срабатывает под конец подключение к серверу. 

Хотя сутки уже тишина, или тролль наигрался или сработал Check_Ticket = True или плагин.

[dragokas]

В момент обновления кеша админов: OnRebuildAdminCache (это форвард такой)

https://github.com/a...flatfile.sp#L60

 

При подключении - между OnClientPreAdminCheck  и OnClientPostAdminFilter.

 

Но ты же понимаешь, что это мог быть не единственный способ выдачи прав.

И если стим подменяется дважды за сессию в процессе подключения, то твой фикс ничего не даст.

Хотя сутки уже тишина, или тролль наигрался или сработал Check_Ticket = True или плагин.

Если стояло false, то разумеется проще всего было заюзать публичный эксплойт, подменяющий SteamId.

Странно, что люди задумываются об элементарной защите только после того, как их реально хакнут. Методу уже наверное год. 

Сообщение отредактировал dragokas: 12 Сентябрь 2021 - 18:53