Твітнути
Кража RCON паролей через SteamBans
Недавно в интернете появился декомпилятор плагинов sourcemod, который позволяет увидеть исходный код плагина (.smx), который скрыт от глаз. Этим способом и воспользовались, декомпилировав плагин SteamBans.ru
SteamBans задумывался как всероссийская база банов для игр на Source и Orangebox
И так, в исходном коде было замечено, что по мимо проверки игроков, плагин крал RCON пароли серверов, так же содержались команды на администрирование сервера через rcon или mani-admin-plugin. Проще говоря, создатель плагина мог воспользоваться админкой вашего сервера.
В ответ на это было заявлено, что уже с 2010 года идёт разработка панели управления своим сервером прямо с сайта SteamBans и для этого то и требуются rcon пароли серверов. Однако разработка панели уже подозрительно растянулась, а так же нет гарантий, что ваши пароли не попадут хакерам, которые взломают SteamBans.
Официозный ответ администрации steambans:
Всем привет!
Я являюсь руководителем проекта Steambans.ru и наверно многие хотят услышать официального мнения по этому поводу. Мой пост наверно будет в стиле скандалы, интриги, расследования, но дабы все разъяснить придется выложить все.
Итак.
Я не отрицаю то, что наш плагин действительно сохранял в базе Ркон пароли серверов.
Для чего ?
Те кто обитают на Сб, знают, что было задумано глобальное обновление. Среди которых есть фишка управление своим сервером прямо с сайта. Любой владелец серверов, мог после подтверждения своих прав управлять своим серверов прямо с сайта СБ. То есть, люди могли добавлять админов, удалять, менять карты и делать все, что им удобно. Даже создавать свою локальную бан систему. Задумка эта была еще в начале 2010 года, а ее реализация досих пор не закончена. Собственно вот для чего мы собирали Рконы и те люди которые пользуются плагином уже много лет знают, что никто никогда в жизни не заходил на их сервера и не пользовался всякими привилегиями. До вчерашнего дня....
О человеке который жестоко разоблачил СБ. Это либо человек который внедрил эту функцию в наш плагин либо его друг и сейчас я это докажу.
В конце прошлого года, наш плагин стал приводить к подвисаниям серверов и было решено его переписать. Из него были вырезаны куски которые брали пароли для серверов так как в то время к нам подключились крупные провайдеры типа Билайна, поэтому сохраняя к нам себе их пароли мы подвергали их опасности.
Вот переписка почти годовой давности с разработчиком данной функции.
http://gyazo.com/1215b30b9766f399615c43d1e92aa62c.png
Как видно его расстроило это. Так как он хотел воспользоваться своими же функциями. Ник на этом сайте у него fallen1994. Именно он узнал первым о декомпиляторе и создал тему на этом форуме. Затем он пошел играться полученными рконами на разные сервера. Благо пароли от остались лишь годовой давности, поэтому успел слить только пару паролей.
Далее он пишет на форуме
http://gyazo.com/b6cb6bce1b0f3fd4955252d0288fe96a.png
И это действительно было так
http://gyazo.com/69389dc517c43bf38cb9e6080755c3ac.png
на что я ответил что нет времени сегодня
http://gyazo.com/d6e9b70d22d278fe969f053d227e0e85.png
Что же это получается ? Человек сам сделал и сам же воспользовался при первом удобном случаи ? Да еще и обвинил Стимбанс, что мы такие плохие...
Итог печален, благодаря ему уплыла действительно большая база паролей, но слава богу не актуальная и даже если это не один и тот же человек, это 100% его друг и если бы он был нормальным, он бы сначала постучал и сказал поправь там, в итоге он постучал уже после того как слил базу.
Короче говоря, лично я допустил серьезную ошибку отдав когда-то исходник плагина на доработку. Мне нужны были только РКОНЫ, я написал выше для чего.
Приношу свои извинения всем админам чьи сервера пострадали.
В будущем буду умнее.
Я являюсь руководителем проекта Steambans.ru и наверно многие хотят услышать официального мнения по этому поводу. Мой пост наверно будет в стиле скандалы, интриги, расследования, но дабы все разъяснить придется выложить все.
Итак.
Я не отрицаю то, что наш плагин действительно сохранял в базе Ркон пароли серверов.
Для чего ?
Те кто обитают на Сб, знают, что было задумано глобальное обновление. Среди которых есть фишка управление своим сервером прямо с сайта. Любой владелец серверов, мог после подтверждения своих прав управлять своим серверов прямо с сайта СБ. То есть, люди могли добавлять админов, удалять, менять карты и делать все, что им удобно. Даже создавать свою локальную бан систему. Задумка эта была еще в начале 2010 года, а ее реализация досих пор не закончена. Собственно вот для чего мы собирали Рконы и те люди которые пользуются плагином уже много лет знают, что никто никогда в жизни не заходил на их сервера и не пользовался всякими привилегиями. До вчерашнего дня....
О человеке который жестоко разоблачил СБ. Это либо человек который внедрил эту функцию в наш плагин либо его друг и сейчас я это докажу.
В конце прошлого года, наш плагин стал приводить к подвисаниям серверов и было решено его переписать. Из него были вырезаны куски которые брали пароли для серверов так как в то время к нам подключились крупные провайдеры типа Билайна, поэтому сохраняя к нам себе их пароли мы подвергали их опасности.
Вот переписка почти годовой давности с разработчиком данной функции.
http://gyazo.com/1215b30b9766f399615c43d1e92aa62c.png
Как видно его расстроило это. Так как он хотел воспользоваться своими же функциями. Ник на этом сайте у него fallen1994. Именно он узнал первым о декомпиляторе и создал тему на этом форуме. Затем он пошел играться полученными рконами на разные сервера. Благо пароли от остались лишь годовой давности, поэтому успел слить только пару паролей.
Далее он пишет на форуме
http://gyazo.com/b6cb6bce1b0f3fd4955252d0288fe96a.png
И это действительно было так
http://gyazo.com/69389dc517c43bf38cb9e6080755c3ac.png
на что я ответил что нет времени сегодня
http://gyazo.com/d6e9b70d22d278fe969f053d227e0e85.png
Что же это получается ? Человек сам сделал и сам же воспользовался при первом удобном случаи ? Да еще и обвинил Стимбанс, что мы такие плохие...
Итог печален, благодаря ему уплыла действительно большая база паролей, но слава богу не актуальная и даже если это не один и тот же человек, это 100% его друг и если бы он был нормальным, он бы сначала постучал и сказал поправь там, в итоге он постучал уже после того как слил базу.
Короче говоря, лично я допустил серьезную ошибку отдав когда-то исходник плагина на доработку. Мне нужны были только РКОНЫ, я написал выше для чего.
Приношу свои извинения всем админам чьи сервера пострадали.
В будущем буду умнее.
Если ваш сервер был подключен к системе steambans, то есть большой смысл немедленно удалить этот плагин и сменить rcon пароль. Также необходимо проверить списки админов на предмет "мёртвых душ".
И скажу вам, что все плугины стоит брать только с официозного ресурса sourcemod, так как там присутствуют все исходные коды и скрытое подсовывание вирусов и взлом исключаются! Если покупаете плугины у "товарищей", то они обязаны выдать вам исходный код!
Ссылка на декомпилятор: http://forum.uasource.com/showthread...-sourcemod-smx
Коментар