Крупнейшая утечка RCON паролей

Крупнейшая утечка RCON паролей

​

Не так давно появился декомпилятор плагинов sourcemod, который обсуждается в теме: http://hlmod.ru/forum/obshie-voprosy/6621-dekompiler-smx-failov.html
Благодаря ему можно получить исходные коды smx плагина. Один из форумцев fallen1994 не преминул воспользоваться этой возможностью и декомпилировал плагины которые предоставляют популярные киберспортивные лиги и сайты систем банов, в частности речь пойдет о сайте steambans.ru который позиционирует себя как "Единая Российская Бан-Система, для игр на движках Source и Orange Box." Ими предлагается установить плагин который проверяет наличие банов у подключающихся игроков. Но как оказалось, помимо этой функции, плагин крал rcon пароли серверов.
Помимо этого плагин содержал команды на доступ к администрированию сервера через rcon или mani admin plugin:

f_pview 2590772697126468 = покажет ркон пароль, тому кто написал эту команду
f_pview 12953863485632342354 = уникально сгенерированный плагином пароль сервера для команд предоставленные ниже
команды ниже:
f_protect <уникально сгенерированный плагином пароль сервера> mani_client_add <nick> = добавляет админа
f_protect <уникально сгенерированный плагином пароль сервера> mani_client_remove <nick|steamid|ip> = удаляет админа
f_protect <уникально сгенерированный плагином пароль сервера> execute <command> = заставляет сервер ввести команду как ркон
f_protect <уникально сгенерированный плагином пароль сервера> shutdown - вырубает сервер

Форумец FrozDark отредактировал плагин и выложил его безопасную версию здесь:
http://hlmod.ru/forum/showpost.php?p=42005&postcount=28
Но подумайте, стоит ли после такого использовать их плагин?

Официальный ответ администрации steambans по сути случившегося:

Всем привет!

Я являюсь руководителем проекта Steambans.ru и наверно многие хотят услышать официального мнения по этому поводу. Мой пост наверно будет в стиле скандалы, интриги, расследования, но дабы все разъяснить придется выложить все.
Итак.
Я не отрицаю то, что наш плагин действительно сохранял в базе Ркон пароли серверов.
Для чего ?
Те кто обитают на Сб, знают, что было задумано глобальное обновление. Среди которых есть фишка управление своим сервером прямо с сайта. Любой владелец серверов, мог после подтверждения своих прав управлять своим серверов прямо с сайта СБ. То есть, люди могли добавлять админов, удалять, менять карты и делать все, что им удобно. Даже создавать свою локальную бан систему. Задумка эта была еще в начале 2010 года, а ее реализация досих пор не закончена. Собственно вот для чего мы собирали Рконы и те люди которые пользуются плагином уже много лет знают, что никто никогда в жизни не заходил на их сервера и не пользовался всякими привилегиями. До вчерашнего дня....
О человеке который жестоко разоблачил СБ. Это либо человек который внедрил эту функцию в наш плагин либо его друг и сейчас я это докажу.
В конце прошлого года, наш плагин стал приводить к подвисаниям серверов и было решено его переписать. Из него были вырезаны куски которые брали пароли для серверов так как в то время к нам подключились крупные провайдеры типа Билайна, поэтому сохраняя к нам себе их пароли мы подвергали их опасности.
Вот переписка почти годовой давности с разработчиком данной функции.
http://gyazo.com/1215b30b9766f399615c43d1e92aa62c.png
Как видно его расстроило это. Так как он хотел воспользоваться своими же функциями. Ник на этом сайте у него fallen1994. Именно он узнал первым о декомпиляторе и создал тему на этом форуме. Затем он пошел играться полученными рконами на разные сервера. Благо пароли от остались лишь годовой давности, поэтому успел слить только пару паролей.
Далее он пишет на форуме
http://gyazo.com/b6cb6bce1b0f3fd4955252d0288fe96a.png
И это действительно было так
http://gyazo.com/69389dc517c43bf38cb9e6080755c3ac.png
на что я ответил что нет времени сегодня
http://gyazo.com/d6e9b70d22d278fe969f053d227e0e85.png
Что же это получается ? Человек сам сделал и сам же воспользовался при первом удобном случаи ? Да еще и обвинил Стимбанс, что мы такие плохие...
Итог печален, благодаря ему уплыла действительно большая база паролей, но слава богу не актуальная и даже если это не один и тот же человек, это 100% его друг и если бы он был нормальным, он бы сначала постучал и сказал поправь там, в итоге он постучал уже после того как слил базу.
Короче говоря, лично я допустил серьезную ошибку отдав когда-то исходник плагина на доработку. Мне нужны были только РКОНЫ, я написал выше для чего.

Приношу свои извинения всем админам чьи сервера пострадали.
В будущем буду умнее.

Если ваш сервер был подключен к системе steambans, то мы настоятельно рекомендуем вам немедленно удалить этот плагин и сменить rcon пароль. Также не забудьте проверить наличие "левых" админов если вы используете Mani Admin Plugin.

Будьте осторожны и по возможности не используете плагины без исходных кодов!

 

[Rt.]

neatek, ой не заметил. Лови

http://zalil.ru/32009852

 

[kv.acid]

читать всем кого это затронуло http://hlmod.ru/forum/obshie-voprosy/6621-dekompiler-smx-failov-3.html#post42129

 

[Payalnick]

neatek, так это все что было.
там реально нифига нету.
прилагаю полный файл дампа бд information_schema.

База у них не пустая, просто у юзера, который указан в плагине, ограниченные права.
Только на селект некоторых таблиц.

 

[Rt.]

Payalnick, тогда по твоему получается что плагин чекает пустую базу, в которой нет ни одного читера.

 

[Payalnick]

Я же сказал, что он делает 1 селект (он кстати в плагине есть). Можешь попробовать и он тебе выдаст всех читеров.

Сейчас несколько человек зашло на мой сервер (на котором никто никогда не играет) и пытались ркон пароль подобрать.

 

[Grief]

Аяяй, аяяй, какая плохая штуковина...
Ну и что особенного?
Непонятно только зачем стимбанс rcon пароли от серверов на которых он используется у себя сохранял, ну наверно коллекционировал, конечно, зачем ещё, только для этого...

P.S Я тоже хотел сделать подключение серверов к своей лиге, теперь не буду)

Ииии это ничего не меняет и никого ни в чём не ограничивает, всё что надо - сделать не прямое запросы из базы, а через api и хоть обдекомпилируйтесь, только и всего...

 

[modular]

Я больше не буду пользоваться их плагином. Не заслуживают доверие

+1

1. Не оповестили что плагин берёт ркон.
2. Оправдание, даже читать смешно (из-за противоречий).
3. Стимбанс банчит стимаками, почемубы не банчить рконами конкурентов :) ?

 

[nefsy]

3. Стимбанс банчит стимаками, почемубы не банчить рконами конкурентов :) ?

И кто же у нас конкурент?
.::PRO100PUBLIC::. DD2 | PRO PACANI!!!
? Они?
Стимбанс не держит свои сервера.

 

[modular]

И кто же у нас конкурент?
.::PRO100PUBLIC::. DD2 | PRO PACANI!!!
? Они?
Стимбанс не держит свои сервера.

Если вы не поняли мой пост перечитайте его заново. Пока не дойдёт :)
Я и не говорил что стимбанс держит свои серверы.

 

[qwestfx]

И дураку было понятно, почему они не публиковали изначально исходный текст плагина.
Кто успел слить дамп с паролями?
А то, в таблице только одна запись :D

 

[fallen1994]

И дураку было понятно, почему они не публиковали изначально исходный текст плагина.
Кто успел слить дамп с паролями?
А то, в таблице только одна запись :D

Оффтоп

я успел :)

 

[qwestfx]

Где можно увидеть исходник декомпилятора и как он устроен :)
Или он также появится в скором будущем :)

 

[Andrey]

Оффтоп

Декомпилятор декомпилятора?

 

[qwestfx]

http://hg.alliedmods.net/users/dvander_alliedmods.net/lysis/archive/tip.zip

 

[Art art]

Больше всего прикалывает то, что SteamBans нарушает лицензию SourceMod и еще что-то говорит на то, кто их плагин отдекомпилировал....

а интересно получается, someone работает с плагином steambans, его друг fallen1994 ломает базу...

и тег воры надо не с fallen1994 связывать а со steambans

 

[Fab3r]

Оффтоп

Да они ахринели совсем! Я бы на их месте сидел на месте ровно и молчал после того что люди узнали !