Angriffe auf Server [WICHTIG]

Wichtiger Hinweis: Bitte ändert nicht manuell die Schriftfarbe auf schwarz sondern belasst es bei der Standardeinstellung. Somit tragt ihr dazu bei dass euer Text auch bei Verwendung unseren dunklen Forenstils noch lesbar ist!

Tipp: Ihr wollt längere Codeausschnitte oder Logfiles bereitstellen? Benutzt unseren eigenen PasteBin-Dienst Link
  • Guten Abend,
    ich habe derzeit enorme Probleme mit meinem Server, und bitte daher um euer Rat.
    Eine Zeitlang war es so, dass andere Spieler sich weder registrieren noch einloggen konnten, der Server restartete immer.
    Die Logs waren voll, mit ganz komischen Namen wie "XKDFM43_LXKRNER" die Endung war immer bei jedem Namen anders, auf jeden Fall waren ca. pro Minuten 100 Login Versuche...
    Ich schätze mal es war eine Bot Attacke...


    Hier ein Stück von den Logs:




    Heute funktionierte auf einmal wieder der Server und war zu betreten, die Logs waren von Bot Namen nicht mehr gefüllt.
    Es ist aber etwas ganz komisches vorgefallen, wenn sich ein Spieler eingeloggt hat, wurde es nicht in den Server Logs gelistet..
    User die sich neu registrierten waren absolut im ganzen Script Ordner nicht zu finden, Spielstände die andere erreicht haben,
    waren auf meinem vServer wo der SAMP Server drauf ist, nicht überschrieben oder erstellt.. Als würden die ganzen Daten jetzt woanders drüber laufen...
    Als RCON Admin konnte man sich auch nicht einloggen, obwohl ich tausendmal das RICHTIGE Passwort angegeben hatte und den richtigen Befehl..
    Und alles lief über DIE SERVER IP... Die IP vom vServer war GENAU die gleiche wie vom Server.. Ich konnte den Server nur noch von PuTTy aus ausschalten, was ich dann auch tat.
    Als ich den Server wieder startete, kam das gleiche Problem bitter... "The Server is restarted" stand da wieder die ganze Zeit.. Die Logs waren aber nicht von Bots zugespammt...
    Wo ist das Problem jetzt eigentlich??


    Logs:


  • Ban doch einfach die IP? Also /rcon ban 186.104.40.149 oder /rcon ban 88.71.194.20


    Achso, du kommst ja nicht mehr rein? Oder wie? :huh:

  • Ne leider nicht...
    Das RCON Passwort wurde eben als falsch angezeigt, obwohl es absolut richtig war!!
    Es war so als wurden alle Daten ganz wo anders abgespielt und gespeichert...
    Außerdem kommt ja jetzt keiner mehr rein, weil die ganze Zeit jetzt wieder steht "The Server is restarted"...


    Ich habe jetzt mal ein crashdetecter eingefügt oder wie der heißt.
    Der meldete soeben folgendes:


    Code
    [16:48:40] [debug] Run time error 4: "Array index out of bounds"
    [16:48:40] [debug]   Accessing element at index 65535 past array upper bound 499
    [16:48:40] [debug] AMX backtrace:
    [16:48:40] [debug] #0  0001f8c8 in public OnPlayerDeath () from Berkanneu.amx


    (Server Uhr läuft falsch)

  • Dafür gibt es ein FS das heißst antiflooding

  • hmm scheint wohl in letzter zeit vermehrt aufzutreten. ich habe das schon in ein paar anderen fällen gelesen. wer tut sowas und vorallem warum tut jemand sowas?? das ist doch total lächerlich und kindich noch dazu. warum müssen irgendwelche "idioten" so einen angriff auf nen server machen?? sorry aber ich versteh den sinn nicht dabei.


    sorry, das musste ich jetzt aber mal loswerden.

  • kannst du in putty rein ?
    dan geh zu dein verzeichnes vom server zb cd /home/samp und mach screen -r banip

  • 1. IP von ihm : 186.104.40.149
    2. BOT - Spammer , mit Crash mode wie alt aber naja gibt für Kiddiys nix besseres in den Pub Forums haha xD


    So Ausführlicher ,


    Guck mal bitte in denen *Server Logs* Nach denn Gespammten Usern die Gejoint sind und deren "IP´s" ,
    Check sie ab und guck haub sie Gleich sind Beisp:


    186.104.40.149 Join
    186.104.40.149 Join
    186.104.40.149 Join
    186.104.40.149 Join


    Wenn ja Benutzt ern Free VPN , Das heißt ein Free VPN Gibt dir 2 - 3 IP´s for Free in Slow Mode
    und kannst sie nach und nach bannen dann wird er wenn er dumm ist mit seiner Real IP Spammen dann
    kannste ihn Range ban Geben ;)


    3. Root,


    Change mal deine Kompletten Passwörter ,


    Linux Putty Login ,
    MySQL , ( Fals MySQL in Script )
    FTP Zugriffe ,


    Haubt Login von Webinterface von Linux Root - MySQL Hoster etc.


    Dann schau in Ruhigen in dein Script wo das Problem liegt , Überschreibungs fehler etc :)


    @Kannst froh sein das es nur ein Bot Spammer auf dich abgesehen hat , und kein DDoS Attacke wa ^^ Sonst hätteste nen Richtiges dickes Problem xD.

  • Also das ist ein Tool was ich auch mal gehabt hatte bzw noch habe.
    Und es ist einfach du musst dich als RCON Admin einloggen und "/rcon banip 186.104.*.* " ausführen dann hat die Person erstmal keine Chance das nochmal zu machen.
    Ansonsten könnte ich dir ein FS schnell machen womit die mit dem Kiddi flood nicht mehr auf dein Server Connecten können.
    Aber es gibt auch genug FS Codes usw im Internet musst du mal gucken.

  • Ok, ich habe die IP gesperrt.


    Ich habe ja ganz oben geschrieben, dass Dateien irgendwie nicht überschrieben und gelesen werden von meinem SAMP Server Ordner, der auf meinem vServer "samp03" heißt.
    Ich habe so eben festgestellt das er den Ordner "samp03bck" gelesen hat, da werden vermutlich die Backups draufgeladen oder so..
    Auf jeden Fall hat er komischerweise von da aus die Daten abgelesen.. :S
    Server Funktioniert jetzt einwandfrei. Was ich komisch finde, das ich beim "samp03" Ordner immer den Client starte... Warum öffnet er dann auf einmal den Client vom Backup Ordner..????
    Das erklärt wohl auch irgendwie das bei jedem Spieler "The server is restarted" stand..


    Aber ich möchte mich auf jeden Fall von so welchen Bot Attacken schützen, ich habe das hier gefunden
    und "pwn 3" heruntergeladen, dies habe ich mit dem Includes von meinem Server compliert und eingefügt, so wie in der Server.cfg eingetragen.
    Bin ich jetzt geschützt??

  • Also wer eher ein anderes und sicheres FS anbietet um so welche Angriffe zu blockieren, dann bitte hier posten. :)

  • Ich empfehle dir, das einmal im englischen Forum zu posten,
    die kennen sich in dem Bereich viel besser aus ;)

    "Bevor ich mir Informationen aus der "Bild" hole,
    werde ich anfangen, Wahlergebnisse danach vorauszusagen,
    neben welchen Busch unsere Katze gepinkelt hat."

    Margarete Stokowski

  • Mir ist aufgefallen das der Server in der letzten Zeit NUR über dem Server Ordner "samp03bck" lief, da wo eigentlich alle Backups vom Hauptserver Ordner "samp03" gespeichert werden..
    Ich bin auf die Account Liste bei "samp03bck" gegangen und es wurden innerhalb 2 Tagen 15,384 Bot Accounts REGISTRIERT!!!
    Wenn ich auf die .ini drauf klicke, steht da nur drinne "Key=0" nicht die restlichen Sachen..
    Die Bot Namen fangen mit "sadsadsda_" und haben nach dem "_" immer eine andere Endung...

  • Jop, ist halt so 'n Bot-Programm, hatte mal 'n Freund von mir, da musste man i-wie halt einen Namen angeben und dann wurden immer automatisch anderen Zeichen hinter dem _ hingesetzt...

  • Klar,


    Einfache und nix wissende anfänger die solche Progis benutzten ^^ .


    -- Son mist is das schau bilder gerade Gemacht :) Besitze eig Jegliche Programme was Server Spammen // Crashen angeht aber
    Man bemerkt das es zu 99,99% Alles nur Schrott ist




    @@ Hab mal alle hinweiße auf namen von den Progiis weg gemacht ^^ sonst laufen noch mehr kids mit rum ^^