Ochrona przed exploitem "by ZeaL"
Napisano: 1 lip 2013, o 21:28
Wchodzac na własny ulubiony serwer natrafiłeś na piękne oknienko z plikiem "cstrike.exe" do pobrania?
Możliwe tez że wchodząc na ulubiony serwer zostajesz przekierowywany na jakiś ruski syf
?
Nie możesz uzyskać dostępu do serwera przez RCON?
W folderze METAMODA znajduje exec.cfg ?
Gratulacje! Jesteś ofiarą gorliwości pewnego człowieka, który zorganizował masowe zarażanie serwerów atakiem sbrut z potężnej liczby odmiennych IP. Każdy zarażony użytkownik staje się atakującym.
Jak się okazuje zarażony serwer można szybko przywrócić do używalności.
Czyscimy po kolei podane lokalizacje:
/addons/metamod/exec.cfg - usunąć
/addons/amxmodx/configs/maps/ - usunąć pliki .cfg
Usunąć lub podmienić plik motd - i nadać CHMOD 444
Na forum cs.net.ua od dawna jest do pobrania poprawka dla tego exploita, ale jak sam pisze ZeaL:
"Osobiście nie jestem vkurse społeczności, ale mówi, że dwójnóg nie pomaga" - dosłowne tlumaczenie, nie rozumiem ruuskich przysłowi
Pobierz poprawkę:
upfile_fix.7z (891 kb)
Opcja z prawami do pliku:
Utwórz pusty plik / addons / metamod / exec.cfg i nadaj mu chmod 444 (czytać, czytać, czytać.)
Utwórz pusty folder / addons / amxmodx / configs / maps / i nadaj mu CHMOD 444.
Reguły w iptables dla systemu Linux:
iptables-I INPUT-p udp-m string - algo kmp - string "XBrute"-j DROP
Wystarczy wyciąć wszystkie pakiety, w którym znajduje się linia XBrute
Jeśli po wejsciu na serwer ujrzysz proste okno z cstrike.exe .. zamknij kurcze te okno!!!
Nie należy nacisnąć przycisk "Uruchom" lub "Zapisz". W przeciwnym razie istnieje ryzyko wstąpienia w szeregi jego botnetu
PS: hasło RCON na zainfekowanym serwerze: zhenya
Zeal wykorzystując swoje armie botnetu zarażonych komputerów, organizuje masę serwerów sbrut.
To nie jest dobre, zwłaszcza jeśli masz dzienne logi, plik potrafi zając kilkaset MB
To ma nawet swoją własną stronę: http://31.200.239.201/
Źrodło: http://gf.hldm.org/we-are-using-private-exploit-by-zeal/
Możliwe tez że wchodząc na ulubiony serwer zostajesz przekierowywany na jakiś ruski syf
?Nie możesz uzyskać dostępu do serwera przez RCON?
W folderze METAMODA znajduje exec.cfg ?
Gratulacje! Jesteś ofiarą gorliwości pewnego człowieka, który zorganizował masowe zarażanie serwerów atakiem sbrut z potężnej liczby odmiennych IP. Każdy zarażony użytkownik staje się atakującym.
Jak się okazuje zarażony serwer można szybko przywrócić do używalności.
Czyscimy po kolei podane lokalizacje:
/addons/metamod/exec.cfg - usunąć
/addons/amxmodx/configs/maps/ - usunąć pliki .cfg
Usunąć lub podmienić plik motd - i nadać CHMOD 444
Na forum cs.net.ua od dawna jest do pobrania poprawka dla tego exploita, ale jak sam pisze ZeaL:
"Osobiście nie jestem vkurse społeczności, ale mówi, że dwójnóg nie pomaga" - dosłowne tlumaczenie, nie rozumiem ruuskich przysłowi
Pobierz poprawkę:
upfile_fix.7z (891 kb)
Opcja z prawami do pliku:
Utwórz pusty plik / addons / metamod / exec.cfg i nadaj mu chmod 444 (czytać, czytać, czytać.)
Utwórz pusty folder / addons / amxmodx / configs / maps / i nadaj mu CHMOD 444.
Reguły w iptables dla systemu Linux:
iptables-I INPUT-p udp-m string - algo kmp - string "XBrute"-j DROP
Wystarczy wyciąć wszystkie pakiety, w którym znajduje się linia XBrute
Jeśli po wejsciu na serwer ujrzysz proste okno z cstrike.exe .. zamknij kurcze te okno!!!
Nie należy nacisnąć przycisk "Uruchom" lub "Zapisz". W przeciwnym razie istnieje ryzyko wstąpienia w szeregi jego botnetu
PS: hasło RCON na zainfekowanym serwerze: zhenya
Zeal wykorzystując swoje armie botnetu zarażonych komputerów, organizuje masę serwerów sbrut.
To nie jest dobre, zwłaszcza jeśli masz dzienne logi, plik potrafi zając kilkaset MB
To ma nawet swoją własną stronę: http://31.200.239.201/
Źrodło: http://gf.hldm.org/we-are-using-private-exploit-by-zeal/