Angriffe auf Server [WICHTIG]

Guten Abend,
ich habe derzeit enorme Probleme mit meinem Server, und bitte daher um euer Rat.
Eine Zeitlang war es so, dass andere Spieler sich weder registrieren noch einloggen konnten, der Server restartete immer.
Die Logs waren voll, mit ganz komischen Namen wie "XKDFM43_LXKRNER" die Endung war immer bei jedem Namen anders, auf jeden Fall waren ca. pro Minuten 100 Login Versuche...
Ich schätze mal es war eine Bot Attacke...

Hier ein Stück von den Logs:

[04:09:24] [join] 4L33PR0_5(b82 has joined the server (0:186.104.40.149)
[04:09:24] [join] 4L33PR0_obvhG has joined the server (1:186.104.40.149)
[04:09:24] [part] 4L33PR0_5(b82 has left the server (0:2)
[04:09:24] [join] 4L33PR0_[Gr(K has joined the server (2:186.104.40.149)
[04:09:24] [join] 4L33PR0_iPMwh has joined the server (3:186.104.40.149)
[04:09:24] [part] 4L33PR0_obvhG has left the server (1:2)
[04:09:24] [part] 4L33PR0_iPMwh has left the server (3:2)
[04:09:24] [join] 4L33PR0_]b2)1 has joined the server (4:186.104.40.149)
[04:09:24] [join] 4L33PR0_Pe2zJ has joined the server (5:186.104.40.149)
[04:09:24] Incoming connection: 186.104.40.149:54864
[04:09:24] [part] 4L33PR0_[Gr(K has left the server (2:2)
[04:09:24] [join] 4L33PR0_99]G. has joined the server (0:186.104.40.149)
[04:09:24] Incoming connection: 186.104.40.149:54865
[04:09:24] Incoming connection: 186.104.40.149:54866
[04:09:24] [join] 4L33PR0_6.YZ$ has joined the server (1:186.104.40.149)
[04:09:24] Incoming connection: 186.104.40.149:54867
[04:09:24] [join] 4L33PR0_q(kEf has joined the server (2:186.104.40.149)
[04:09:24] [part] 4L33PR0_]b2)1 has left the server (4:2)
[04:09:24] [join] 4L33PR0_3BNP@ has joined the server (3:186.104.40.149)

Heute funktionierte auf einmal wieder der Server und war zu betreten, die Logs waren von Bot Namen nicht mehr gefüllt.
Es ist aber etwas ganz komisches vorgefallen, wenn sich ein Spieler eingeloggt hat, wurde es nicht in den Server Logs gelistet..
User die sich neu registrierten waren absolut im ganzen Script Ordner nicht zu finden, Spielstände die andere erreicht haben,
waren auf meinem vServer wo der SAMP Server drauf ist, nicht überschrieben oder erstellt.. Als würden die ganzen Daten jetzt woanders drüber laufen...
Als RCON Admin konnte man sich auch nicht einloggen, obwohl ich tausendmal das RICHTIGE Passwort angegeben hatte und den richtigen Befehl..
Und alles lief über DIE SERVER IP... Die IP vom vServer war GENAU die gleiche wie vom Server.. Ich konnte den Server nur noch von PuTTy aus ausschalten, was ich dann auch tat.
Als ich den Server wieder startete, kam das gleiche Problem bitter... "The Server is restarted" stand da wieder die ganze Zeit.. Die Logs waren aber nicht von Bots zugespammt...
Wo ist das Problem jetzt eigentlich??

Logs:

----------
Loaded log file: "server_log.txt".
----------


SA-MP Dedicated Server
----------------------
v0.3e, (C)2005-2012 SA-MP Team


[16:45:03] password = ""  (string)
[16:45:03] 
[16:45:03] Server Plugins
[16:45:03] --------------
[16:45:03]  Loading plugin: streamer.so
[16:45:03] 


*** Streamer Plugin v2.6.1 by Incognito loaded ***


[16:45:03]   Loaded.
[16:45:03]  Loading plugin: sscanf.so
[16:45:03] 


[16:45:03]  ===============================


[16:45:03]       sscanf plugin loaded.     


[16:45:03]    (c) 2009 Alex "Y_Less" Cole


[16:45:03]  ===============================


[16:45:03]   Loaded.
[16:45:03]  Loading plugin: audio.so
[16:45:03] 
*** Audio Plugin v0.4 by Incognito loaded ***


[16:45:03]   Loaded.
[16:45:03]  Loading plugin: crashdetect.so
[16:45:03]   crashdetect v4.7.6 is OK.
[16:45:03]   Loaded.
[16:45:03]  Loaded 4 plugins.


[16:45:04] 
[16:45:04] Ban list
[16:45:04] --------
[16:45:04]  Loaded: samp.ban
[16:45:04] 
[16:45:04] 
[16:45:04] Filterscripts
[16:45:04] ---------------
[16:45:04]   Loading filterscript 'sLogo.amx'...
[16:45:04] Textdraw file generated by
[16:45:04]    Das Copyright Logo wurde erfolgreich geladet!
[16:45:04]   Loaded 1 filterscripts.


[16:45:04] AllowAdminTeleport() : function is deprecated. Please see OnPlayerClickMap()
[16:45:04] Pickups Max = 2048, Current Pickups = 22
[16:45:04] _______________________________________
[16:45:04] Das Script wurde Vollständig geladen!
[16:45:04]  German Reallife: LS/SF/LV
[16:45:04] _______________________________________
[16:45:04]  
[16:45:04] Number of vehicle models: 86
[16:45:23] Incoming connection: 88.71.194.20:57857
[16:46:19] Incoming connection: 88.71.194.20:57858

Ban doch einfach die IP? Also /rcon ban 186.104.40.149 oder /rcon ban 88.71.194.20

Achso, du kommst ja nicht mehr rein? Oder wie?

Ne leider nicht...
Das RCON Passwort wurde eben als falsch angezeigt, obwohl es absolut richtig war!!
Es war so als wurden alle Daten ganz wo anders abgespielt und gespeichert...
Außerdem kommt ja jetzt keiner mehr rein, weil die ganze Zeit jetzt wieder steht "The Server is restarted"...

Ich habe jetzt mal ein crashdetecter eingefügt oder wie der heißt.
Der meldete soeben folgendes:

[16:48:40] [debug] Run time error 4: "Array index out of bounds"
[16:48:40] [debug]   Accessing element at index 65535 past array upper bound 499
[16:48:40] [debug] AMX backtrace:
[16:48:40] [debug] #0  0001f8c8 in public OnPlayerDeath () from Berkanneu.amx

(Server Uhr läuft falsch)

Dafür gibt es ein FS das heißst antiflooding

kannst du in putty rein ?
dan geh zu dein verzeichnes vom server zb cd /home/samp und mach screen -r banip

Also das ist ein Tool was ich auch mal gehabt hatte bzw noch habe.
Und es ist einfach du musst dich als RCON Admin einloggen und "/rcon banip 186.104.*.* " ausführen dann hat die Person erstmal keine Chance das nochmal zu machen.
Ansonsten könnte ich dir ein FS schnell machen womit die mit dem Kiddi flood nicht mehr auf dein Server Connecten können.
Aber es gibt auch genug FS Codes usw im Internet musst du mal gucken.

Ok, ich habe die IP gesperrt.

Ich habe ja ganz oben geschrieben, dass Dateien irgendwie nicht überschrieben und gelesen werden von meinem SAMP Server Ordner, der auf meinem vServer "samp03" heißt.
Ich habe so eben festgestellt das er den Ordner "samp03bck" gelesen hat, da werden vermutlich die Backups draufgeladen oder so..
Auf jeden Fall hat er komischerweise von da aus die Daten abgelesen..
Server Funktioniert jetzt einwandfrei. Was ich komisch finde, das ich beim "samp03" Ordner immer den Client starte... Warum öffnet er dann auf einmal den Client vom Backup Ordner..????
Das erklärt wohl auch irgendwie das bei jedem Spieler "The server is restarted" stand..

Aber ich möchte mich auf jeden Fall von so welchen Bot Attacken schützen, ich habe das hier gefunden
und "pwn 3" heruntergeladen, dies habe ich mit dem Includes von meinem Server compliert und eingefügt, so wie in der Server.cfg eingetragen.
Bin ich jetzt geschützt??

Also wer eher ein anderes und sicheres FS anbietet um so welche Angriffe zu blockieren, dann bitte hier posten.

Zitat von <(^^_)>Msk.

http://forum.sa-mp.com/showthread.php?t=321533

Das hatte ich bereits auf probiert, nur es kam ein Error...
Siehe dieses Thema Include zeigt Errors

Mir ist aufgefallen das der Server in der letzten Zeit NUR über dem Server Ordner "samp03bck" lief, da wo eigentlich alle Backups vom Hauptserver Ordner "samp03" gespeichert werden..
Ich bin auf die Account Liste bei "samp03bck" gegangen und es wurden innerhalb 2 Tagen 15,384 Bot Accounts REGISTRIERT!!!
Wenn ich auf die .ini drauf klicke, steht da nur drinne "Key=0" nicht die restlichen Sachen..
Die Bot Namen fangen mit "sadsadsda_" und haben nach dem "_" immer eine andere Endung...

Jop, ist halt so 'n Bot-Programm, hatte mal 'n Freund von mir, da musste man i-wie halt einen Namen angeben und dann wurden immer automatisch anderen Zeichen hinter dem _ hingesetzt...