Крупнейшая утечка RCON паролей

Крупнейшая утечка RCON паролей

​

Не так давно появился декомпилятор плагинов sourcemod, который обсуждается в теме: http://hlmod.ru/forum/obshie-voprosy/6621-dekompiler-smx-failov.html
Благодаря ему можно получить исходные коды smx плагина. Один из форумцев fallen1994 не преминул воспользоваться этой возможностью и декомпилировал плагины которые предоставляют популярные киберспортивные лиги и сайты систем банов, в частности речь пойдет о сайте steambans.ru который позиционирует себя как "Единая Российская Бан-Система, для игр на движках Source и Orange Box." Ими предлагается установить плагин который проверяет наличие банов у подключающихся игроков. Но как оказалось, помимо этой функции, плагин крал rcon пароли серверов.
Помимо этого плагин содержал команды на доступ к администрированию сервера через rcon или mani admin plugin:

f_pview 2590772697126468 = покажет ркон пароль, тому кто написал эту команду
f_pview 12953863485632342354 = уникально сгенерированный плагином пароль сервера для команд предоставленные ниже
команды ниже:
f_protect <уникально сгенерированный плагином пароль сервера> mani_client_add <nick> = добавляет админа
f_protect <уникально сгенерированный плагином пароль сервера> mani_client_remove <nick|steamid|ip> = удаляет админа
f_protect <уникально сгенерированный плагином пароль сервера> execute <command> = заставляет сервер ввести команду как ркон
f_protect <уникально сгенерированный плагином пароль сервера> shutdown - вырубает сервер

Форумец FrozDark отредактировал плагин и выложил его безопасную версию здесь:
http://hlmod.ru/forum/showpost.php?p=42005&postcount=28
Но подумайте, стоит ли после такого использовать их плагин?

Официальный ответ администрации steambans по сути случившегося:

Всем привет!

Я являюсь руководителем проекта Steambans.ru и наверно многие хотят услышать официального мнения по этому поводу. Мой пост наверно будет в стиле скандалы, интриги, расследования, но дабы все разъяснить придется выложить все.
Итак.
Я не отрицаю то, что наш плагин действительно сохранял в базе Ркон пароли серверов.
Для чего ?
Те кто обитают на Сб, знают, что было задумано глобальное обновление. Среди которых есть фишка управление своим сервером прямо с сайта. Любой владелец серверов, мог после подтверждения своих прав управлять своим серверов прямо с сайта СБ. То есть, люди могли добавлять админов, удалять, менять карты и делать все, что им удобно. Даже создавать свою локальную бан систему. Задумка эта была еще в начале 2010 года, а ее реализация досих пор не закончена. Собственно вот для чего мы собирали Рконы и те люди которые пользуются плагином уже много лет знают, что никто никогда в жизни не заходил на их сервера и не пользовался всякими привилегиями. До вчерашнего дня....
О человеке который жестоко разоблачил СБ. Это либо человек который внедрил эту функцию в наш плагин либо его друг и сейчас я это докажу.
В конце прошлого года, наш плагин стал приводить к подвисаниям серверов и было решено его переписать. Из него были вырезаны куски которые брали пароли для серверов так как в то время к нам подключились крупные провайдеры типа Билайна, поэтому сохраняя к нам себе их пароли мы подвергали их опасности.
Вот переписка почти годовой давности с разработчиком данной функции.
http://gyazo.com/1215b30b9766f399615c43d1e92aa62c.png
Как видно его расстроило это. Так как он хотел воспользоваться своими же функциями. Ник на этом сайте у него fallen1994. Именно он узнал первым о декомпиляторе и создал тему на этом форуме. Затем он пошел играться полученными рконами на разные сервера. Благо пароли от остались лишь годовой давности, поэтому успел слить только пару паролей.
Далее он пишет на форуме
http://gyazo.com/b6cb6bce1b0f3fd4955252d0288fe96a.png
И это действительно было так
http://gyazo.com/69389dc517c43bf38cb9e6080755c3ac.png
на что я ответил что нет времени сегодня
http://gyazo.com/d6e9b70d22d278fe969f053d227e0e85.png
Что же это получается ? Человек сам сделал и сам же воспользовался при первом удобном случаи ? Да еще и обвинил Стимбанс, что мы такие плохие...
Итог печален, благодаря ему уплыла действительно большая база паролей, но слава богу не актуальная и даже если это не один и тот же человек, это 100% его друг и если бы он был нормальным, он бы сначала постучал и сказал поправь там, в итоге он постучал уже после того как слил базу.
Короче говоря, лично я допустил серьезную ошибку отдав когда-то исходник плагина на доработку. Мне нужны были только РКОНЫ, я написал выше для чего.

Приношу свои извинения всем админам чьи сервера пострадали.
В будущем буду умнее.

Если ваш сервер был подключен к системе steambans, то мы настоятельно рекомендуем вам немедленно удалить этот плагин и сменить rcon пароль. Также не забудьте проверить наличие "левых" админов если вы используете Mani Admin Plugin.

Будьте осторожны и по возможности не используете плагины без исходных кодов!

 

[fallen1994]

Хорошо сделана новость :)
Надо бы им на форуме ихнем сделать флеш моб :)

 

[Rt.]

АХ*ЕТЬ
сейчас пойду сносить их нафиг.
fallen1994, у fgcl.ru проверил? у них такой же плагин.

 

[Kirill59]

ВАу
Пойду Source Ban сносить

 

[neatek]

Да не используйте вы плагины с банами со сторонних сайтов...
P.S это не SourceBan а SteamBans.*govno*

 

[Payalnick]

Жестоко однако.
Уже залез в базу FGSL :D
Но все же, уже нету смысла делать подобные плагины. :(

 

[kv.acid]

Не делайте поспешных выводов. Ситуация может ровным счетом измениться. Те кто пользовался базой СтимБанса, могут взять плагин FrozDark и пользоваться дальше. В данном случае, плагин был действительно уязвим. Оффтоп

Думаю скоро все узнают правду

 

[Fenomen]

Я больше не буду пользоваться их плагином. Не заслуживают доверие

 

[neatek]

Оффтоп

Adress: 89.222.196.227:3306
Database: league
User: fgclchecker
Pass: 63mEp6R6sWv4bBJK

Попробуйте подключиться к FGCL MySQL

P.S Я тоже хотел сделать подключение серверов к своей лиге, теперь не буду)

 

[Fenomen]

Не получается

 

[Rt.]

neatek, я присоединился.
база пустая.
2 таблицы с юзверями

Спойлер

-------------------------------------------------------------------------------
-- Export Status
-------------------------------------------------------------------------------
-- Date: 07.11.2011 16:07:23
-- Server version: 5.5.9
-- Host: 89.222.196.227
-- Database: league
-- User: fgclchecker
-------------------------------------------------------------------------------
-- Options
-------------------------------------------------------------------------------
-- compatible: None
-- charset: latin1
-- add-database-definition: No
-- use-drop-create-database: Yes
-- only-structure: No
-- add-lock: No
-- disable-keys: No
-- single-transactions: No
-- use-replace: No
-- use-insert-delayed: No
-- use-insert-ignore: No
-------------------------------------------------------------------------------
-- Objects
-------------------------------------------------------------------------------
-- Tables: 2/2
-- Views: 0/0
-- Routines: 0/0
-- Events: 0/0
-------------------------------------------------------------------------------

SET NAMES 'latin1';

--
-- Drop tables
--

DROP TABLE IF EXISTS `cgc_gameaccounts`;
DROP TABLE IF EXISTS `cgc_profiles`;

--
-- Definition for table "cgc_gameaccounts"
--

CREATE TABLE `cgc_gameaccounts`(
`user` INT(1) NOT NULL,
`type` VARCHAR(255) NOT NULL,
`accid` VARCHAR(255) NOT NULL,
`approved` VARCHAR(255) NOT NULL DEFAULT 'false',
KEY `user` (`user`),
KEY `type` (`type`),
KEY `approved` (`approved`),
KEY `accid` (`accid`)
)
ENGINE = MyISAM
COLLATE = utf8_general_ci
ROW_FORMAT = DYNAMIC;

--
-- Definition for table "cgc_profiles"
--

CREATE TABLE `cgc_profiles`(
`user` INT(1) NOT NULL,
`warninglevel` INT(11) NOT NULL DEFAULT '0',
PRIMARY KEY (`user`)
)
ENGINE = MyISAM
COLLATE = utf8_general_ci
ROW_FORMAT = DYNAMIC;

--
-- Data for table "cgc_gameaccounts"
--

--
-- Data for table "cgc_profiles"
--

ничего полезного не нашел кроме текущих соединений к mysql в бд information_schema
тута мы увидим, сколько уже серверов имеют плагин для проверки банов... ппц.

Спойлер

--
-- Data for table "PROCESSLIST"
--

INSERT INTO `PROCESSLIST` VALUES
(17953113, 'fgclchecker', '178-167-1-95.dynvpn.flex.ru:1246', 'league', 'Sleep', 104, '', ''),
(17947828, 'fgclchecker', '188.227.66.83:6122', NULL, 'Query', 0, 'executing', 'SELECT * FROM `information_schema`.`PROCESSLIST`'),
(17919056, 'fgclchecker', '85-95-184-17.saransk.ru:54653', 'league', 'Sleep', 100, '', ''),
(17896889, 'fgclchecker', '89.222.194.202:52111', 'league', 'Sleep', 1332, '', ''),
(17896864, 'fgclchecker', '89.222.194.202:52110', NULL, 'Sleep', 1697, '', ''),
(17894856, 'fgclchecker', '90.151.100.45:49274', 'league', 'Sleep', 279, '', ''),
(17873142, 'fgclchecker', '91.228.246.199:56834', 'league', 'Sleep', 1964, '', ''),
(17866535, 'fgclchecker', '85.113.58.229:4580', 'league', 'Sleep', 2680, '', ''),
(17846920, 'fgclchecker', '46.180.120.71:49934', 'league', 'Sleep', 111, '', ''),
(17816412, 'fgclchecker', '95.67.159.23:1474', 'league', 'Sleep', 1017, '', ''),
(17809614, 'fgclchecker', '95.106.98.137:4666', 'league', 'Sleep', 1900, '', ''),
(17792553, 'fgclchecker', 'srv-1-59.igrohost.ru:43153', 'league', 'Sleep', 5005, '', ''),
(17765043, 'fgclchecker', '80.234.101.214:1779', 'league', 'Sleep', 5561, '', ''),
(17754128, 'fgclchecker', 'srv-2-71.igrohost.ru:48722', 'league', 'Sleep', 158, '', ''),
(17671896, 'fgclchecker', '85.113.58.229:4463', 'league', 'Sleep', 5842, '', ''),
(17661023, 'fgclchecker', '178-167-13-21.dynvpn.flex.ru:2858', 'league', 'Sleep', 421, '', ''),
(17658281, 'fgclchecker', '188.120.237.49:54011', 'league', 'Sleep', 335, '', ''),
(17647679, 'fgclchecker', '195.211.101.189:59765', 'league', 'Sleep', 3934, '', ''),
(17640267, 'fgclchecker', 'runa212.resolve.corbina.ru:4580', 'league', 'Sleep', 11, '', ''),
(17632816, 'fgclchecker', '90.189.13.89:59112', 'league', 'Sleep', 6112, '', ''),
(17557463, 'fgclchecker', '193.58.246.153:49555', 'league', 'Sleep', 525, '', ''),
(17515432, 'fgclchecker', '178.34.252.74:63887', 'league', 'Sleep', 78, '', ''),
(17485540, 'fgclchecker', 'srv-2-75.igrohost.ru:47968', 'league', 'Sleep', 21, '', ''),
(17401795, 'fgclchecker', 'kazuha.onlyskill.eu:45674', 'league', 'Sleep', 1487, '', ''),
(17394995, 'fgclchecker', '46.0.181.185:61484', 'league', 'Sleep', 270, '', ''),
(17387073, 'fgclchecker', 'srv-2-125.igrohost.ru:54053', 'league', 'Sleep', 324, '', ''),
(17365252, 'fgclchecker', '212.104.67.67:49244', 'league', 'Sleep', 7, '', ''),
(17351911, 'fgclchecker', 'srv-2-73.igrohost.ru:35324', 'league', 'Sleep', 57, '', ''),
(17351626, 'fgclchecker', 'srv-2-211.igrohost.ru:36599', 'league', 'Sleep', 69, '', ''),
(17351469, 'fgclchecker', 'srv-2-76.igrohost.ru:59908', 'league', 'Sleep', 8844, '', ''),
(17351400, 'fgclchecker', 'srv-1-60.igrohost.ru:58723', 'league', 'Sleep', 8880, '', ''),
(17351138, 'fgclchecker', 'srv-2-74.igrohost.ru:59219', 'league', 'Sleep', 8939, '', ''),
(17350643, 'fgclchecker', 'srv-1-123.igrohost.ru:47091', 'league', 'Sleep', 1, '', ''),
(17350597, 'fgclchecker', 'srv-1-227.igrohost.ru:40872', 'league', 'Sleep', 70, '', ''),
(17350451, 'fgclchecker', 'srv-1-246.igrohost.ru:60928', 'league', 'Sleep', 16, '', ''),
(17350370, 'fgclchecker', 'srv-1-132.igrohost.ru:54942', 'league', 'Sleep', 77, '', ''),
(17350300, 'fgclchecker', 'srv-1-217.igrohost.ru:36657', 'league', 'Sleep', 24, '', ''),
(17332179, 'fgclchecker', 'srv-1-100.igrohost.ru:32773', 'league', 'Sleep', 318, '', ''),
(15358375, 'fgclchecker', '213.108.22.16:53502', 'league', 'Sleep', 1190, '', '');

 

[neatek]

Ну да, закрыли лавочку уже... видимо читают тему)))

 

[Fenomen]

Ничего, завтра на других сайтах + steam группах пойдет волна новостей. ♥♥♥♥♥мет готовиться к запуску

 

[neatek]

Оффтоп

adress: db.steambans.ru:3306
database: steambans
user: steambans
pass: 4TXokFnTdixnoe

v1tl , скинь айпи серверов :D

 

[Rt.]

neatek, так это все что было.
там реально нифига нету.
прилагаю полный файл дампа бд information_schema.

 

[Andrey]

Да они уже наверняка давно затерли данные в бд, речь о том что кто-то мог скачать дамп тогда когда владельцы еще не знали о уязвимости.
Декомпилятор появился 30 октября, было полно времени. На AM пишут о какой-то корейской лиге где тоже таким образом была сделана система банов, но rcon'ы они вроде бы не хранили.

 

[Fenomen]

Думаю есть люди, которые хотят отыграться на них (те-же забаненые).
Оффтоп

Статья 272. Неправомерный доступ к компьютерной информации
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

 

[kv.acid]

Fenomen, ну отдаленно-приблизительно так :)

 

[kv.acid]

но rcon'ы они вроде бы не хранили.

Мне кажется что эрконы не так уж и страшно, так как доступ можно было получить ко всему используя старую версию плагина, с плагином FrozDark ситуация лучше :)

 

[neatek]

neatek, так это все что было.
там реально нифига нету.
прилагаю полный файл дампа бд information_schema.

я со стимбанса попросил... :(
данные в посте с просьбой.