Помогите Взламывают сервер (1.6.4) через консоль.

Сами себя дают АДМИНКУ и РАЗБАНИВАЮТ через консоль:

Спойлер: в консоли

Админка:
2015-05-07 23:46:04 [INFO] Terr issued server command: /gm 1
2015-05-07 23:46:04 [INFO] §cTerr §4отказано в доступе к команде.
2015-05-07 23:46:06 [INFO] Permission "*" added!
2015-05-07 23:46:07 [INFO] Permission "*" added!
2015-05-07 23:46:14 [INFO] Terr issued server command: /pex

Разбан себя после кика:

2015-05-10 22:07:24 [INFO] Disconnecting Terr [/79.173.66.26:12883]: §fВаш ip забанен!
Причина: §a'hack'§f
Забанил §aconsole§f.
За разъяснениями - к забанившему
2015-05-10 22:07:24 [INFO] Console разбанил 79.173.66.26.
2015-05-10 22:07:24 [INFO] Permission "*" added!
2015-05-10 22:07:27 [INFO] eudys123: aaaaaaaaaaaaa
2015-05-10 22:07:29 [INFO] Permission "*" added!
2015-05-10 22:07:29 [INFO] Permission "*" added!

В настройках server.properties: enable-rcon=false и пароля нету.

Спойлер: PEX

groups:
Player:
default: true
permissions:
- modifyworld.*
- authme.register
- authme.login
- -authme.logout
- -authme.unregister
- authme.changepassword
- automessage.receive.default
- essentials.itemdb
- essentials.afk.auto
- essentials.balance
- essentials.pay
- essentials.help
- essentials.motd
- essentials.msg
- essentials.back
- essentials.back.ondeath
- essentials.suicide
- essentials.list
- essentials.rules
- essentials.spawn
- essentials.home
- essentials.sethome
- essentials.tpaccept
- essentials.tpdeny
- essentials.delhome
- essentials.tpa
- essentials.kit
- essentials.kits.start
- essentials.signs.use.*
- essentials.signs.create.trade
- essentials.signs.break.trade
- lockette.user.create.*
- worldguard.region.info.*
- worldguard.region.list.own
- worldguard.region.wand
- worldguard.region.claim
- worldguard.region.redefine.own
- worldguard.region.remove.own.*
- worldguard.region.select.own.*
- worldguard.region.addmember.own.*
- worldguard.region.removemember.own.*
- worldguard.region.flag.regions.own.*
- worldguard.region.flag.flags.pvp.*
- worldguard.region.flag.flags.greeting.*
- wgr.find
- worldedit.wand
- worldedit.selection.hpos
- worldedit.selection.pos
- worldedit.selection.expand
- craftbook.mech.*
- colormatch.sign
- heavyspleef.join
- heavyspleef.start
- heavyspleef.leave
- heavyspleef.sign.join
- heavyspleef.sign.start
- heavyspleef.sign.leave
- sg.lobby.join
- sg.arena.join.*
- sg.arena.vote
- sg.arena.spectate
- hg.join
- hg.leave
- hg.kit
- quicktrade.trade.*
- mik1313.giftcode.use
- reserve.pex.0
- reserve.pex.1
- reserve.pex.2
- reserve.pex.3
- reserve.pex.4
- reserve.pex.5

Cписок Плагинов:

Несколько нападающих одновременно заходят и разбанивают друг друга адреса через консоль и в самой игре, пришлось остановить сервер до решения проблемы.

плагины (если кому поковырять охота): http://rghost.ru/6hYVB2TN6

Прошу помощи...

 

В конфиге AuthME случайно не вот так?

[a-zA-Z0-9_?]

 

allowedNicknameCharacters: '[a-zA-Z0-9_]*'


только я не очень понимаю при чем тут authme, если они с себя бан снимают через консоль..

 

О Хоспаде! Да, да, школа, согласен - AuthMe.[DOUBLEPOST=1431288547,1431288456][/DOUBLEPOST]

Поройся в папках плагинов, если найдешь папку с названием - "ptnkjke", удаляй вместе с плагином.
А лучше сами плагины по открывай с помощью "winrar", уверен попадется внутри плагина папка "ptnkjke".

 

внутри папок и подпапок такого не нашел, жавы все пересмотрел, в спиготах вроде как нет.. хотя внутри там черт ногу сломит..
Из последнего - ставил: UralClans2 от сюда, и NoCheatPlus-3.11.1-RC-sMD5NET-b743 с девбакит..

p.s. как вообще осуществляется управление этим бэкдором, а то даже не проверить - даже если смогу устранить...

 

В общем дело в каком - то из плагинов.

 

погуглил про зловредный код, и все таки думаю что дело не в плагинах... набирал все команды из форумов и ютубов.. для активации админки.. и по земле стучал и по песку...
Да и нельзя себя разбанить этим плагином, если игрок уже забанен по IP и кикнут то набирать что либо в чате не получится.
В логах нету левых команд для выдачи себе прав, есть только команда разбана игрока - "Console разбанил ..."

Раз игроки себя разбанивают не входя на сервер, это какая то программа..


плагины, если кто захочет поковырять.
http://rghost.ru/6hYVB2TN6

 

Разбанивает другой игрок или с другого аккаунта.
В логах команды и не будет. Сборку поменяй и увидишь, что больше никто не сможет ничего сделать.

 

В смысле.. сборку ? Сервер не из готовых сборок, все сам собирал из девбакита и от сюда, плагины не обновлял пол года, еслиб были те коды с ютуба (/fpt help... /fp help и т д) то сломали бы еще осенью сервер.

p.s. Были бы программы которые сразу пачку плагинов распакуют и декомпилируют в читабельный формат, и пройтись поиском на предмет кода.

 

Попробуйте все-таки обновить плагины,возможно уже исправили уязвимость,если была

 

Варианта 2.
1) Дыру уже проюзали с какого то плагина или кого то из админов и пользуются команд блоками в дальнейшем.
2) Вскрыли твою машинку и юзают консоль напрямую, ибо ркон пишет от юзера Rcon.
А хотя, может и плагин юзает команды от консоли.
Мой совет тебе, сноси плагины те что с руведерка, выключи комблоки на сервере и почисти бд пекса и опов. Смени пароли. И на всякий случай, проверь скрипты личного кабинета еще, да и всего сайта в целом.[DOUBLEPOST=1431335142,1431334613][/DOUBLEPOST]P.s тот кто ломает, скорее всего и есть тот чел что подкинул тебе подарочек с дырой где то. Возможно твой якобы друг.

 

Осенью этот игрок еще не знал о твоем сервере или не наткнулся на ютубе на видео, или на тему в форуме, в которых говорится про взлом.

Это не единичный случай, это так и есть. Читал комментарии на форуме МайАрене, так таких случаев очень много. Во всех случаях виноваты были плагины - ptnkjke.

Писькострадалец. Типа борец за справедливость. Это почти тоже самое , что бороться с некачественными , поддельными продуктами питания. Простой, обычный покупатель покупая хлеб, должен бежать, делать экспертизу , чтобы узнать где сделан этот хлеб, в противном случае он может отравиться и умереть. Логика Длоёбоба.

 

Скинь ка плагины с щеллом от ptnk не разу не видел от него.

 

Вот 1 из них - тык

 

Это не он писал, это пересобранный фоудпротект.

 

То есть папка ptnkjke это не его подпись?

 

Нет, плагин не его.

 

Ясно.

 

Может поменяешь пароль от консоли?