Помогите Взлом TOP MC серверов

Привет дорогие юзеры, приключился забавный случай.

Вот этот парнишка http://vk.com/koljas1 чудесным образом зашел спокойно за админа сегодня на одном сервере. На его канале можно спокойно увидеть, как обходит лаунчера и т.д. Также у него есть всякие плюшки, типо удвоить баланс в кабинете и т.д.

Теперь немного о проекте где был взлом: на проекте стоит лицензионная xenfero и аддон портал к ней. Т.е сбрутить пароль админа 0%.
Лаунчер платный от сашка.

Если посмотреть группу с его взломами, то у всех серверов только одна похожая вещь, это сервер mc.
Получается дыра в где-то в ядре сервера. Я как знаю, раньше можно было подкинуть пару пакетов и спокойно зайти под чужого юзера, но это давно уже пофикшено в ядре.
Также интересная вещь, что у него в друзьях известный барталамео который популярен своими дюпами.

Теперь немного лога, на этом моменте он заходит на сервер из под амина и получает спокойно доступ к бд pex и также повышает права другому челу.

Код:

[00:00:23] [User Authenticator #239/INFO]: UUID of player Shadow is 53686164-6f77-0000-0000-000000000000
[00:00:24] [Netty IO #3/INFO]: Client protocol version 1
[00:00:24] [Netty IO #3/INFO]: Client attempting to join with 55 mods : NotEnoughItems@1.0.4.80,ProjRed|Compatibility@4.5.14.66,BuildCraft|Silicon@6.3.7,appliedenergistics2-core@rv1-stable-1,NEIAddons@1.12.3.11,BinnieCore@2.0-pre7,PvPTime@1.0.1,ProjRed|Expansion@4.5.14.66,ForgeMicroblock@1.1.1.320,BuildCraft|Core@6.3.7,bravo@1.1-stable,ExtraBees@2.0-pre7,MouseTweaks@2.4.4,Botany@2.0-pre7,ProjRed|Integration@4.5.14.66,Genetics@2.0-pre7,bspkrsCore@6.15,mcp@9.05,ProjRed|Transmission@4.5.14.66,appliedenergistics2@rv1-stable-1,craftguide@1.6.8.1,McMultipart@1.1.1.320,ThermalExpansion@1.7.10R4.0.0RC6,BuildCraft|Factory@6.3.7,GraviSuite@1.7.10-2.0.3,Railcraft@9.5.0.0,IC2NuclearControl@2.1.2a,ThermalFoundation@1.7.10R1.0.0RC4,ForgeMultipart@1.1.1.320,CarpentersBlocks@3.3.5,BuildCraft|Compat@6.3.0,CoFHCore@1.7.10R3.0.0RC5,MrTJPCoreMod@1.0.5.11,Forge@10.13.2.1291,IronChest@6.0.62.742,ExtraTrees@2.0-pre7,NEIAddons|Botany@1.12.3.11,CodeChickenCore@1.0.4.29,AdvancedSolarPanel@1.7.10-3.5.1,BuildCraft|Energy@6.3.7,IC2@2.2.691-experimental,Treecapitator@1.7.10,ProjRed|Transportation@4.5.14.66,FML@7.10.85.1291,NEIAddons|Forestry@1.12.3.11,BuildCraft|Transport@6.3.7,<CoFH ASM>@000,NEIAddons|CraftingTables@1.12.3.11,NEIAddons|ExNihilo@1.12.3.11,ProjRed|Core@4.5.14.66,ProjRed|Illumination@4.5.14.66,ProjRed|Exploration@4.5.14.66,Forestry@3.4.0.7,report@3.0-stable,BuildCraft|Builders@6.3.7
[00:00:24] [Netty IO #3/INFO]: Attempting connection with missing mods [IC2LaserFix, worldedit] at CLIENT
[00:00:24] [Server thread/INFO]: [Server thread] Server side modded connection established
[00:00:24] [Server thread/INFO]: Shadow [/212.124.9.38:63125] logged in with entity id 1189977 at ([world] -329.23918873334327, 74.5, 447.5508100131481)
[00:00:25] [Netty IO #3/INFO]: [L]<Taksa> давай сюда
[00:00:25] [Server thread/INFO]: [L][m[0;37;22m[[0;32;22mИгрок[0;37;22m][0;37;1m Taksa[m: давай сюда[m
[00:00:26] [Server thread/INFO]: Shadow issued server command: /we cui
[00:00:31] [Server thread/INFO]: [Scavenger] Player MrGigabytechange world from world to DIM-1
[00:00:32] [Server thread/INFO]: MrGigabyte issued server command: /we cui
[00:00:36] [Server thread/INFO]: Shadow issued server command: /pex config permissions.backends.sql.uri
[00:00:37] [Server thread/INFO]: Player kampot dismantled  (cofh.thermalexpansion.block.tank.BlockTank@6d9de823:3) at (794.0,73.0,1193.0)
[00:00:37] [Server thread/INFO]: Player kampot dismantled  (cofh.thermalexpansion.block.tank.BlockTank@6d9de823:3) at (793.0,74.0,1193.0)
[00:00:41] [Netty IO #3/INFO]: [L]<Taksa> хочеш
[00:00:41] [Server thread/INFO]: [L][m[0;37;22m[[0;32;22mИгрок[0;37;22m][0;37;1 m Taksa[m: хочеш[m
[00:00:44] [Server thread/INFO]: Player kampot dismantled  (cofh.thermalexpansion.block.tank.BlockTank@6d9de823:3) at (792.0,73.0,1193.0)
[00:00:44] [Server thread/INFO]: Shadow 1issued server command: /pex config permissions.backends.sql.password
[00:00:46] [Server thread/INFO]: Player kampot dismantled  (cofh.thermalexpansion.block.tank.BlockTank@6d9de823:3) at (793.0,73.0,1194.0)
[00:00:47] [Server thread/INFO]: GloomUnderNight issued server command: //wand
[00:00:50] [Netty IO #3/INFO]: [L]<Taksa> отдай джетпак
[00:00:50] [Server thread/INFO]: [L][m[0;37;22m[[0;32;22mИгрок[0;37;22m][0;37;1m Taksa[m: отдай джетпак[m
[00:00:52] [Server thread/INFO]: Shadow issued server command: /pex config permissions.backends.sql.user
[00:01:19] [Server thread/INFO]: Shadow issued server command: /pex user TheKoljas1337 add *
[00:01:21] [Server thread/INFO]: Shadow lost connection: Disconnected

Мы конечно уже приняли меры. Но вопрос, у кого какие есть догадки как такое можно было провернуть?

 

Забыл дополнить, что на 3 серверах один и тот же симптом. Зашли сразу за админа и хакнули

насчет топ серверов, чекайте их группу, их также успешно ..... Но видимо позднее у них была договоренность.

 

- Дыры в сайте
- Дыры в веб-части лаунчера
- Брут через веб-часть лаунчера (защиты от брута нет ни в одном лаунчере)

Есть ещё вопросы по поводу того, как у Вас shshokv3 общается сайтом. Можно в ЛС.

 

Судя по названию, проекты не плохие были хакнуты.. На таких проектах у администраторов ясен пень пароль over > 25 символов, разного регистра и зачастую создан автоматичести.. Вряд ли библиотека брута потянет такое.

 

Если бы дыры были на сайте и веб части, то через игру бы не узнавали доступ к бд сайта, когда все пасы и так хранятся в конфигах. Дыра где-то между сервером и сессией.
С сайтом? Клиент общается с сокетом вдски, после чего вдска чекает данные в базе в зависимости от результата выдаётся сессия и т.д.[DOUBLEPOST=1427057355,1427057205][/DOUBLEPOST]Брут также отпадает, это прекрасно отслеживается. Косяк в том, что на админа сразу зашли, без всяких ошибок о входе. Видимо узнав кто админ проекта с помощью форума, уже было не сложно угадать кто админ в игре.
Пароль попросту отгадать невозможно, а сбрутить достаточно долго.
Ибо сам пароль имеет примерно такой вид: #$#ret3dFer6fDASt4t5#$

 

В общем, нужно больше логов. У Вас фрагмент, где взлом уже произошёл.[DOUBLEPOST=1427058199,1427057744][/DOUBLEPOST]Теория с кривой проверкой сессией вполне возможна - у всех взломанных проектов есть сервера на версии 1.7.10.

 

Да это понятно, что требуется больше информации, предоставил всё что смог, увы.
Сашок отрицает конечно, что трабл в его лаунчере, но я почему-то тоже склоняюсь к тому, что проблема где-то в сессии.
Интересно то, что в группе продают они какой-то УНВ, который ломает любого игрока на сервере, забавно конечно)

 

Если интересно как взломал, через что и почему, напиши в скайп, объясню все с подробностями, юмора достаточно

 

да юмора и так достаточно, добавил ))

 

Ерунда всё это, сбрутили/дыра в веб-части, но в маине с этим всё нормально, ищите проблемы в своих бубликах.

 

А вот тут ты совсем неправ, защита от брута есть в сашке, может и слабая, но есть.
И я уверен на 90% что это все фейк взломы, чтоб школота канал накручивала своими просмотрами. Чувак там конечно красава, в группе вк сразу банит как только начинают подозревать что наипалово .

 

Тут я согласен, списывался с чуваком который это делает, это фейк, как сайты некоторые, так и взломы

 

Брут, видел группу где раздавал админки и тп
Если найду скину

 

Если это не фейк, нужно просто разобраться, что общего между всеми взломанными проектами. Я не думаю, что он к каждому проекту отдельный подход ищет, у них у всех должна быть общая уязвимость.
1. Какой движок форума
2. Какой движок сайта
3. Какие версии ядер серверов
4. Какой лаунчер

Ну по логам инфы мало. Игрок заходит и сразу прописывает команды. Непонятно, заходил ли он ещё раньше. И если да, то что делал. Не помешало бы пробить его на мульты и проверить, что он делал со всех аккаунтов

 

Один из перечисленных проектов ломали через форум IPB.

 

Ну тогда лучший способ обезопаситься - писать собственный форум...
Хотя я думаю, что все эти уязвимости яйца выеденного не стоят. Просто невнимательность.
И да спасут вас логи

 

У всех проектов разные форумы, лаунчеры, скрипты. Связывает только, что у всех котел и идёт работа со сессией через лаунчер.

 

ой да ладно, был один сервер с >500ч ,у админа был пароль 12341234, не давно брутил(уже забросил)) )

 

Может ли это быть связано с UUID?
Но в прикреплённом логе мало инфы. Всё, что делает человек, можно отследить с помощью логов. Абсолютно всё

 

И мне скинь, тоже интересно где опять все полимеры просрали.