Помогите Взламывают сервер

Взломщик под разными никами, под поим IP переодически. Создал группу sos в которой '*'. В консоли заметил что иногда появляется странная надпись (скрин). В логах ничего нету о нем. Команды этой в логах нету тоже (стоит cclogger). Собственно вопрос - как он это делает или где может быть уязвимость, может уже была тема с таким школьником хацкером?)

У меня BungeeCord, Authme на сервере лобби (после передподключения бросает в лобби всегда) и GameGuard. Может тут причина?

 

Сказал чувак который не закрыл вовремя дыры сервера
вчитывайся
http://rubukkit.org/threads/dymeth-team-raskryvaem-karty.115944/[DOUBLEPOST=1455650105,1455650007][/DOUBLEPOST]

если с английским плохо то google translate в помощь.

 

Чувак, зачем умничать? Я прекрасно знаю что эта надпись говорит о том что Bables добавлен в группу sos. Вопрос в том, откуда команда выполняется? закрыт доступ к командным блокам.[DOUBLEPOST=1455651109][/DOUBLEPOST]

Скажи, вот один из айпи был 127.0.0.2. Это случаем не локальный?

 

Нет это не локальный .

 

Вот еще такое. Как такое возможно? После каждого ника я вводил менял пароль (15значный)... IP используется мой

Monroe это мой ник

 

Порты закрой все, кроме тех который используют сервера и там 21,22,80 и тд.

 

все на 127 это адреса локальной машины.

 

Тогда как у него этот адрес? Это ваще как?)
Я слышал что можно на компе у себя запустить банги тоже, и там прописать мой серв где нет аутми, и соотвественно там любой ник... Айпи тоже получается 127 будет? выходит они так и делали?

 

Закрой через iptables порты всех серверов кроме bungeecord[DOUBLEPOST=1455663157,1455663071][/DOUBLEPOST]

Код:

iptables -I INPUT ! -s $BUNGEE_IP -p tcp --dport $SERVER_PORT -j DROP

Вместо $BUNGEE_IP и $SERVER_PORT вставь соответственно айпи твоего bungeecord и порт, который надо закрыть

 

Только что спалил его, в логах такой же ИП как и у меня. У меня ник Monroe, у него Lassddds. Это подмена UUID? Если да, чего делать то?)

Код:

[217.10.38.219][02/17/2016 05:24:58 AM (world: -2927,92,4138)] Lassddds: //schem
[217.10.38.219][02/17/2016 05:25:00 AM (world: -2927,92,4138)] Lassddds: //schem list
[217.10.38.219][02/17/2016 05:25:18 AM (world: -2927,92,4138)] Lassddds: //schem
[217.10.38.219][02/17/2016 05:25:27 AM (world: -2927,92,4138)] Lassddds: //schem delete yzadora10
[217.10.38.219][02/17/2016 05:25:32 AM (world: -2927,92,4138)] Lassddds: //schem delete yzadora10
[217.10.38.219][02/17/2016 05:25:40 AM (world: -2927,92,4138)] Lassddds: //schem delete yzadora10.schematic
[217.10.38.219][02/17/2016 05:25:48 AM (world: -2890,92,4131)] Lassddds: //schem delete Yzadora10.schematic
[217.10.38.219][02/17/2016 05:25:57 AM (world: -2890,92,4131)] Lassddds: //schem delete WestVillage
[217.10.38.219][02/17/2016 05:26:08 AM (world: -2866,92,4172)] Lassddds: //schem load spawn
[217.10.38.219][02/17/2016 05:26:22 AM (world: -2866,92,4172)] Lassddds: //schem load survivalspawn
[217.10.38.219][02/17/2016 05:26:28 AM (world: -2920,63,4234)] Lassddds: //paste
[217.10.38.219][02/17/2016 05:43:21 AM (world: -3031,79,4221)] Monroe: /so inspect
[217.10.38.219][02/17/2016 05:43:31 AM (world: -2986,79,4177)] Monroe: /co inspect
[217.10.38.219][02/17/2016 05:43:56 AM (world: -2943,83,4237)] Monroe: /spawn
[217.10.38.219][02/17/2016 05:44:00 AM (world: -3025,74,4205)] Monroe: /spawn
[217.10.38.219][02/17/2016 05:44:18 AM (world: -3025,74,4205)] Monroe: /gm 1
[217.10.38.219][02/17/2016 05:45:31 AM (world: -3027,74,4205)] Monroe: /co rollback U:monroe T:1h r:500
[217.10.38.219][02/17/2016 05:45:39 AM (world: -3027,74,4205)] Monroe: /co rollback U:monroe T:1h r:#global

 

Мне больше интересно как он сессию обходит. Тупо подмена айпи?[DOUBLEPOST=1455690115,1455690000][/DOUBLEPOST]

А если там еще и другие сервера? Что можно предпринять?

 

Даунитам посвящается https://cloud.mail.ru/public/1fd2bdc3ca7f/site/Для ванилки 1.7.10+/Закрываем сервера BungeeCord.txt
Этому баяну уже лет сто. Не хотите читать инструкцию на сайте https://www.spigotmc.org/threads/1-7-2-1-8-bungeecord.392/
Никтож не виноват!

 

Мне кажетс Ipp tables работает для кол-ва серверов как и для одного.

Сессия я вообще вырубил после этого, все равно пролезает... Он входит и у него будто уже есть звезда.

 

Читай выше.

 

404 проверь пожалуйста ссылку. Нужно тупо поставить Ip Tables?

 

Сорян, всегда забываю паблик ссылку кидать.

 

Проблема осталась:

Код:

[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m
[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m
[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m
[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m
[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m
[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m
[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m
[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m
[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m
[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m
[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m
[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m
[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m
[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m
[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m
[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m
[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m
[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m
[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m
[14:05:39] [Server thread/INFO]: [0;37;1mUser Bables added to sos ![m

Постоянно его в эту группу добавляет ЧТО-ТО
Help. UP.

 

Скорее всего был сделан взлом через UUPI сод, или как то так.

 

Список плагинов и версию!

 

Оставь пока что эту группу пустой без прав. Пусть порадуется.
И забань ник Bables