Cheater, Hacker, usw...

Alles was mit Enemy Territory zu tun hat
Haroun Hardun
Grünschnabel
Grünschnabel
Beiträge: 8
Registriert: Do 6. Mär 2008, 15:17

Cheater, Hacker, usw...

Beitrag von Haroun Hardun »

Huhu,

wir (www.HH-funclan.de) werden seit einiger Zeit von einem ausländerfeindlichen Hacker drangsaliert. Ich poste mal ein paar Sachen...

Serverlog...
2007-10-07
16:04.27 Userinfo: \cg_etVersion\ET Pro, ET 2.60\cg_uinfo\101 0 40 1\g_password\none\cl_guid\BF22B5A8C4F9913A91BD891E90EB09D3\cl_punkbuster\1\cl_anonymous\0\name\0Niggerhunter! cl_wwwDownload\0\snaps\40\rate\25000\ip\84.160.93.247:27960
16:07.30 say: 0Niggerhunter!: judensau verrecke
[...]
16:15.30 say: 0Niggerhunter!: drexjuden
16:18.41 Userinfo: \cg_etVersion\ET Pro, ET 2.60\cg_uinfo\101 0 40 1\g_password\none\cl_guid\A86EC6A2F0E8316EDC7E3750FD6A72F6\cl_punkbuster\1\cl_anonymous\0\name\G0tt\cl_wwwDow nload\0\snaps\40\rate\25000\ip\84.160.93.247:27960
16:18.51 say: G0tt: !sieg heil
16:20.04 say: G0tt: ai du judensau
16:21.07 say: G0tt: verreck jud
16:22.40 say: G0tt: du judensau verreck
[...]
16:23.33 say: G0tt: pb_heilhitler
16:26.02 say: smoke: gg + sieg heil
[...]
16:24.00 Userinfo: \cg_etVersion\ET Pro, ET 2.60\cg_uinfo\101 0 40 1\g_password\none\cl_guid\D85FF8D8E5E1230459F0933226F2767A\cl_punkbuster\1\cl_anonymous\0\name\smoke\cl_wwwDo wnload\0\snaps\40\rate\25000\ip\84.160.93.247:3746
16:36.21 say: Aequitas: verreckt ihr juden

yawn...
http://www.yawn.be/findPlayer.yawn?game ... 20D3BC00D0

Und noch vieles mehr..

Mittlerweile sind wir soweit....
http://www.hh-funclan.de/include.php?pa ... readid=550


Wer hilft uns das Problem zu lösen ?
Bei wirklich hilfreichen Tipps oä.. wendet euch an Hr. Hide oder Helmut Honigdachs.. Wenn ihr kein Bock habt euch bei uns anzumelden dann wendet euch an mich und ich leite das dann weiter...


Grüsse und vielen Dank im vorraus...
Zuletzt geändert von Haroun Hardun am Sa 8. Mär 2008, 18:47, insgesamt 1-mal geändert.
silver
Hero of City
Hero of City
Beiträge: 4731
Registriert: Di 1. Jul 2003, 17:35
Wohnort: Castle Wolfenstein
Kontaktdaten:

Beitrag von silver »

ich würd kein kopfgeld aussetzen und mich damit aufs selbe niveau herablassen.
könnt ihr euren server nicht besser absichern? kenn mich da leider zu wenig aus. wenn der adminmod sicherheitslöcher enthält würd ich den mal entfernen. gästebuch und forum gegen doppelposts absichern und posts kommentarlos löschen. ist immer besser als deswegen nen fass auf zumachen. dann vergeht den leuten schneller der spaß. wenn ihr euch aufregt, dann machts demjenigen erst recht spaß.

wenn ihr die ip habt, beim provider (falls ihr den wisst) beschweren. wenn er ausm selben land kommt, würd ich mal wie bei euch im forum steht mit nem anwalt reden und auch anzeige erstatten. dann gibts eh ne erhebung wer zu der ip gehört. außerdem ist es auch strafbar systeme zu hacken. beleidigung, eventl volksverhetzung, wiederbetätigung ... steht eh genug bei euch im forum.

würd aber zuerst schaun wo das technische problem ist...

ich würd auf alle fälle den teil mitn kopfgeld entfernen. sowas kann man ja auch als drohung darstellen.
Bild
Bild
[url=irc://de.quakenet.org/wolfenstein-city]#wolfenstein-city @ quakenet[/url]
https://rtcw-city.de
www.EnemyTerritory.de
Haroun Hardun
Grünschnabel
Grünschnabel
Beiträge: 8
Registriert: Do 6. Mär 2008, 15:17

Beitrag von Haroun Hardun »

hiho,

erstmal danke für deine Antwort..

All das (vom Gästebuch einmal abgesehen) was du vorgeschlagen hast haben wir schon durch.. Schau mal auf unsere Newspage..

Das Kopfgeld ist nicht wirklich ein Kopfgeld.. Alles was wir wollen/brauchen ist Name und Anschrift um ihn dann anzeigen zu können.. Keine Angst mehr haben wir nicht im Sinn...

Also wer 150€ einsacken will besorgt uns einfach seine Daten.. Wem das zuwenig ist.. kein Thema.. lässt sich drüber reden... Bitte alles nur auf legalem Wege...

Das ganze geht seit letztem Jahr und nervt täglich.. Bitte um Verständnis..

Grüsse
silver
Hero of City
Hero of City
Beiträge: 4731
Registriert: Di 1. Jul 2003, 17:35
Wohnort: Castle Wolfenstein
Kontaktdaten:

Beitrag von silver »

wie willst du name und anschrift bekommen? die verbindungsdaten liegen nur beim provider auf und der darf die daten nicht rausgeben. ihr müsst anzeige auf unbekannt machen und dann wird von gericht erhoben zu wem die ip gehört. wie das genau rennt kann euch ein anwalt sagen. da kenn ich mich zu wenig aus.

würd das angebot von Arsen!c wahrnehmen und die logs nem anwalt zeigen der sich mit internet recht auskennt. wenns nicht antisemitische sachen wären, würd ich sagen, schließt eure sicherheitslöcher und ignoriert den rest. aber in dem fall würd ich auch versuchen voll durchzugreifen und eine anzeige durch zu bringen. hoffe ihr habt erfolg.
Bild
Bild
[url=irc://de.quakenet.org/wolfenstein-city]#wolfenstein-city @ quakenet[/url]
https://rtcw-city.de
www.EnemyTerritory.de
Haroun Hardun
Grünschnabel
Grünschnabel
Beiträge: 8
Registriert: Do 6. Mär 2008, 15:17

Beitrag von Haroun Hardun »

Sicherheitslöcher schliessen ist so ne Sache... Auch diesbezüglich suchen wir Hilfe.. Wir haben zwar schon viel versucht (ip-range ban, usw..) aber bislang erfolglos.. Für Tipps sind wir aufgeschlossen...

Wenn Anzeige auf Unbekannt die letzte Möglichkeit ist so werden wir das wahrnehmen...
Benutzeravatar
ciTy|TaskForce
ciTy Team
ciTy Team
Beiträge: 3399
Registriert: Mi 25. Dez 2002, 20:28
Wohnort: Niederrhein
Alter: 47

Beitrag von ciTy|TaskForce »

mal drüber nachgedacht ob es nicht einer aus den eigenen reihen ist?
silver
Hero of City
Hero of City
Beiträge: 4731
Registriert: Di 1. Jul 2003, 17:35
Wohnort: Castle Wolfenstein
Kontaktdaten:

Beitrag von silver »

naja wüsste nicht wie ihr ohne anzeige an die daten kommen solltet und was bringen euch die daten wenn ihr keine anzeige machen wollt ^^

naja der adminmod dürfte ja ne schwachstelle sein. den würd ich fürs erste mal entfernen. cheater gabs ja leider schon vor nem halben jahr sehr viele bei euch. hoffe ich ihre mich da jetzt nicht was den server betrifft. irgendwie habens die wohl auf euch abgesehen. schade. hab da immer gern gespielt. aber wie gesagt ich würd mal den adminmod raushauen.

ansonsten kann ich bei server leider nicht so recht weiterhelfen. vielleicht kennt sich da jemand anderes besser aus.
Bild
Bild
[url=irc://de.quakenet.org/wolfenstein-city]#wolfenstein-city @ quakenet[/url]
https://rtcw-city.de
www.EnemyTerritory.de
Haroun Hardun
Grünschnabel
Grünschnabel
Beiträge: 8
Registriert: Do 6. Mär 2008, 15:17

Beitrag von Haroun Hardun »

Silver du Flöte wer hat geschrieben wir würden keine Anzeige machen wollen.. Genau das wollen wir doch... Gegen Unbekannt ist nicht wirklich erfolgversprechend..

Der adminmod ist nun auch schon zwei Wochen aus.. Und ja das war eine der Schwachstellen.. Aber wir würden ihn auch gerne mal wieder anschmeissen...

Zu den Cheatern weiss ich wohl das in diversen Cheaterforen auch Server gelistet werden wos besonders viel Spass macht zu cheaten oä.. Vielleicht haben wir dadurch soviel scheisse aufm server gehabt.. ka..


@Task
Ja da habe ich auch schon drüber nachgedacht.. Allerdings glaube ich das nicht.. Wer weiss....
silver
Hero of City
Hero of City
Beiträge: 4731
Registriert: Di 1. Jul 2003, 17:35
Wohnort: Castle Wolfenstein
Kontaktdaten:

Beitrag von silver »

oh sry hab gedacht ihr wollt erst anzeige machen wenn ihr name und anschrift habt. naja wie gesagt, durch ne klage bekommt das gericht ja die daten vom provider. einfach mal beim anwalt erkundigen was da machbar ist. erkundigung ist ja unverbindlich.

adminmod war schon immer anfällig. daher haben den viele wieder aus gemacht. finds schade dass immer die guten server so belagert werden. :(
Bild
Bild
[url=irc://de.quakenet.org/wolfenstein-city]#wolfenstein-city @ quakenet[/url]
https://rtcw-city.de
www.EnemyTerritory.de
Benutzeravatar
ciTy|TaskForce
ciTy Team
ciTy Team
Beiträge: 3399
Registriert: Mi 25. Dez 2002, 20:28
Wohnort: Niederrhein
Alter: 47

Beitrag von ciTy|TaskForce »

is schon auffällig, dass es solch starke Probleme nur auf eurem Server gibt, ansonsten hab ich das mit dieser Härte noch nicht gehört. Für mich schauts so aus als würd da ein verärgerter Mitarbeiter mit Zugangsdaten seinen schabernack treiben
silver
Hero of City
Hero of City
Beiträge: 4731
Registriert: Di 1. Jul 2003, 17:35
Wohnort: Castle Wolfenstein
Kontaktdaten:

Beitrag von silver »

ciTy|TaskForce hat geschrieben:is schon auffällig, dass es solch starke Probleme nur auf eurem Server gibt, ansonsten hab ich das mit dieser Härte noch nicht gehört. Für mich schauts so aus als würd da ein verärgerter Mitarbeiter mit Zugangsdaten seinen schabernack treiben
naja sowas will ich nicht behaupten aber auf alle fälle mag euch da jemand nicht und pisst euch gewaltig ans bein. hoffentlich erwischt er ihn und er bekommt seine strafe.
Bild
Bild
[url=irc://de.quakenet.org/wolfenstein-city]#wolfenstein-city @ quakenet[/url]
https://rtcw-city.de
www.EnemyTerritory.de
Benutzeravatar
WoodSTokk
Helpdesk
Helpdesk
Beiträge: 2634
Registriert: Fr 6. Dez 2002, 03:09
Wohnort: Wien/Österreich/Europa/Erde
Alter: 53

Beitrag von WoodSTokk »

Tja, ich kann dir nur den Provider nennen und das ist die 'Deutsche Telekom AG'.
Wie jeder Provider, bietet auch die Telekom eine Mailadresse, an die man Missstände und Beschwerden richten kann. --> abuse@t-ipnet.de
Ob die Teledoof der Sache allerdings nachgeht, ist eine andere Frage.
Dadurch, daß die IP dynamisch vergeben wird, müsstest du im Mail genaues Datum und Uhrzeit des Vorfalls nennen, damit sie am RADIUS-Server nachsehen können wer zu der Zeit die IP zugewiesen bekommen hat.

Bezüglich Server:
Fast alle Mods haben bereits einen Chat-Filter.
Über den kann man soweit ich weis auch kicken und bannen, oder zumindest den Chat sauber halten.

mfG WoodSTokk

PS: Wenn Ihr einen Root-Server mit einer fetten Leitung habt, könnt Ihr den Störenfried auch aus dem Netz drücken (fluten seines Ports), aber das ist gesetzlich auch eine Grauzone.

Anmerkung: Ich hab das nicht gesagt und ich hab das auch noch nie gemacht :|
Du scheisst es nicht zu wetzen
Testserver: @peStable (95.129.206.243:27960)
Haroun Hardun
Grünschnabel
Grünschnabel
Beiträge: 8
Registriert: Do 6. Mär 2008, 15:17

Beitrag von Haroun Hardun »

So Woodstokk nu sind wir beim Thema.. ;)

Teledoof haben wir angeschrieben, und jetzt ratet mal was die gemacht haben.. :/


Dein anderer Tip (der ja garnich deiner ist, keine Ahnung wie das in deinen Post gerutscht ist) hört sich doch nach ner guten Übergangslösung an.. ;) thx


Wir sind weiterhin für alles mögliche zur Lösung des Problems offen...


Gehabt euch wohl...
Benutzeravatar
Helmut Honigdachs

Beitrag von Helmut Honigdachs »

So, will mich ja auch mal dazu auessern :)
naja sowas will ich nicht behaupten aber auf alle fälle mag euch da jemand nicht und pisst euch gewaltig ans bein. hoffentlich erwischt er ihn und er bekommt seine strafe.
Vermutlich wehren wir uns zu gut :)
So ziemlich alle Luecken (in der Reihenfolge: IP-Range nicht gesperrt, etadmin_mod nicht gefixt, Server anfaellig fuer Fake Player DoS) haben wir inzwischen gefixt. Am Anfang, ohne Rangeban, kam der Cheater noch voellig problemlos auf den Server; nach dem Rangeban ging es nur noch mit Proxies. Da Proxies zum Zocken zu langsam sind, blieb ihm da nur noch, durch die Luecke im Adminmod Terror zu verbreiten. Seit die gefixt ist, macht er nur noch 'Fake Player'-DoS-Attacken. Mal sehen, was als naechstes kommt, nachdem ich die so weit wie moeglich eingegrenzt hab (fixen geht leider nur direkt in der Engine).
Es ist und bleibt ein Katz-und-Maus-Spiel, aber ich denke, wir schlagen uns ziemlich gut.
Zu den Cheatern weiss ich wohl das in diversen Cheaterforen auch Server gelistet werden wos besonders viel Spass macht zu cheaten oä.. Vielleicht haben wir dadurch soviel scheisse aufm server gehabt.. ka..
Tjaha... ich hab mal nach meinem eigenen Nick gegoogelt... und siehe da:
http://209.85.135.104/search?q=cache:yr ... honigdachs

http://209.85.135.104/search?q=cache:Eb ... honigdachs


Naja, dafuer ist die ganze Cheatseite jetzt down :)

Ich vermute mal, derjenige, der sich da als ich ausgibt, ist der Nazicheater, der uns anfangs terrorisiert hat. Ich gehe davon aus, dass wir es inzwischen mit anderen zu tun haben (andere IP-Range(s), keine Nazikommentare mehr).

Noch mal kurz im Detail betrachtet, wie die beiden Attacken funktionieren:

Adminmod-Sicherheitsluecke: der Adminmod liest die GUID aus dem Userinfo-String im Serverlog - der ist so ziemlich komplett wertlos, weil der Inhalt weitestgehend faelschbar ist. Ich hab den Adminmod so umgeschrieben, dass er jetzt die Ausgabe von pb_sv_plist liest, bzw. auf 'Player GUID Computed'-Punkbusterlogzeilen wartet. Das funktioniert prinzipiell, aber ich muss den Adminmod noch weiter umschreiben, damit er wieder komplett und problemlos funktioniert. Wenn ich damit soweit bin, werde ich den Patch veroeffentlichen.
@Serveradmins: bedenkt bitte, dass auch alle Lua-Scripte das cl_guid-Feld des Userinfo-Strings lesen - die Attacke betrifft also auch u. U. andere Scripte. Auch Scripte, die versuchen, die IP aus dem Userinfo-String zu lesen, koennen getauescht werden - Cheater fuegen einfach jede Menge Unsinn in den String ein, sodass die Engine irgendwann den Rest des Strings abschneiden muss. Da die IP am Ende steht, geht sie mit drauf, und ist fuer Scripte so nicht mehr zugaenglich.

Fake Player-DoS: der Cheater benutzt ein Programm, dass dem Server lauter Connect-Pakete sendet. Der Server wartet dann x Sekunden, bis er die Connects wieder beendet, weil nichts passiert - solange blockieren die Fake Players aber die Spielerslots. Auf die Art und Weise laesst sich ein Server relativ einfach ausser Gefecht setzen. Loesung: combinedfixes.lua in der aktuellen Version, wie ich sie gerade im privaten Forum von PBBans gepostet habe (nur fuer Serveradmins zugaenglich).
silver
Hero of City
Hero of City
Beiträge: 4731
Registriert: Di 1. Jul 2003, 17:35
Wohnort: Castle Wolfenstein
Kontaktdaten:

Beitrag von silver »

hm die typen haben nette siganaturen *gg*
interessant zu wissen wie das ganze rennt. das mit dem overflow im userinfostring ist natürlich leicht zu machen. leider ...
wenns fortschritte gibt, sag bitte bescheid. interessiert mich. hatte leider noch nicht die gelegenheit mich mit der funktionsweise von pb auseinander zu setzen. technisch gesehen find ichs von der cheater seite auch sehr interessant :)
muss mir wohl deren forum mal genau durchlesen.
Bild
Bild
[url=irc://de.quakenet.org/wolfenstein-city]#wolfenstein-city @ quakenet[/url]
https://rtcw-city.de
www.EnemyTerritory.de
Antworten