Сообщений в теме: 3

[Бендер Родригес]

Не так давно появился декомпилятор плагинов sourcemod, который обсуждается в теме: http://hlmod.ru/foru... ... ailov.html
Благодаря ему можно получить исходные коды smx плагина. Один из форумцев fallen1994 не преминул воспользоваться этой возможностью и декомпилировал плагины которые предоставляют популярные киберспортивные лиги и сайты систем банов, в частности речь пойдет о сайте steambans.ru который позиционирует себя как "Единая Российская Бан-Система, для игр на движках Source и Orange Box." Ими предлагается установить плагин который проверяет наличие банов у подключающихся игроков. Но как оказалось, помимо этой функции, плагин крал rcon пароли серверов.
Помимо этого плагин содержал команды на доступ к администрированию сервера через rcon или mani admin plugin:

f_pview 2590772697126468 = покажет ркон пароль, тому кто написал эту команду
f_pview 12953863485632342354 = уникально сгенерированный плагином пароль сервера для команд предоставленные ниже
команды ниже:
f_protect <уникально сгенерированный плагином пароль сервера> mani_client_add = добавляет админа
f_protect <уникально сгенерированный плагином пароль сервера> mani_client_remove = удаляет админа
f_protect <уникально сгенерированный плагином пароль сервера> execute = заставляет сервер ввести команду как ркон
f_protect <уникально сгенерированный плагином пароль сервера> shutdown - вырубает сервер

Форумец FrozDark отредактировал плагин и выложил его безопасную версию здесь:
http://hlmod.ru/foru...05&postcount=28
Но подумайте, стоит ли после такого использовать их плагин?

Официальный ответ администрации steambans по сути случившегося:

Всем привет!

Я являюсь руководителем проекта Steambans.ru и наверно многие хотят услышать официального мнения по этому поводу. Мой пост наверно будет в стиле скандалы, интриги, расследования, но дабы все разъяснить придется выложить все.
Итак.
Я не отрицаю то, что наш плагин действительно сохранял в базе Ркон пароли серверов.
Для чего ?
Те кто обитают на Сб, знают, что было задумано глобальное обновление. Среди которых есть фишка управление своим сервером прямо с сайта. Любой владелец серверов, мог после подтверждения своих прав управлять своим серверов прямо с сайта СБ. То есть, люди могли добавлять админов, удалять, менять карты и делать все, что им удобно. Даже создавать свою локальную бан систему. Задумка эта была еще в начале 2010 года, а ее реализация досих пор не закончена. Собственно вот для чего мы собирали Рконы и те люди которые пользуются плагином уже много лет знают, что никто никогда в жизни не заходил на их сервера и не пользовался всякими привилегиями. До вчерашнего дня....
О человеке который жестоко разоблачил СБ. Это либо человек который внедрил эту функцию в наш плагин либо его друг и сейчас я это докажу.
В конце прошлого года, наш плагин стал приводить к подвисаниям серверов и было решено его переписать. Из него были вырезаны куски которые брали пароли для серверов так как в то время к нам подключились крупные провайдеры типа Билайна, поэтому сохраняя к нам себе их пароли мы подвергали их опасности.
Вот переписка почти годовой давности с разработчиком данной функции.

Как видно его расстроило это. Так как он хотел воспользоваться своими же функциями. Ник на этом сайте у него fallen1994. Именно он узнал первым о декомпиляторе и создал тему на этом форуме. Затем он пошел играться полученными рконами на разные сервера. Благо пароли от остались лишь годовой давности, поэтому успел слить только пару паролей.
Далее он пишет на форуме

И это действительно было так

на что я ответил что нет времени сегодня

Что же это получается ? Человек сам сделал и сам же воспользовался при первом удобном случаи ? Да еще и обвинил Стимбанс, что мы такие плохие...
Итог печален, благодаря ему уплыла действительно большая база паролей, но слава богу не актуальная и даже если это не один и тот же человек, это 100% его друг и если бы он был нормальным, он бы сначала постучал и сказал поправь там, в итоге он постучал уже после того как слил базу.
Короче говоря, лично я допустил серьезную ошибку отдав когда-то исходник плагина на доработку. Мне нужны были только РКОНЫ, я написал выше для чего.

Приношу свои извинения всем админам чьи сервера пострадали.
В будущем буду умнее.

Если ваш сервер был подключен к системе steambans, то мы настоятельно рекомендуем вам немедленно удалить этот плагин и сменить rcon пароль. Также не забудьте проверить наличие "левых" админов если вы используете Mani Admin Plugin.

Будьте осторожны и по возможности не используете плагины без исходных кодов!

Источник: http://hlmod.ru/foru...read.php?t=6637

[Проповедник]

Что и следовало ожидать,я и раньше подозревал что в популярных плагинах без исходников полюбому что-то нечистое есть

[cirka]

Тьфу- тьфу, я смертный и не будет такое со мной

[Vitamin]

Да уш вот так форс-мажор!