Помогите Взлом TOP MC серверов

Привет дорогие юзеры, приключился забавный случай.

Вот этот парнишка http://vk.com/koljas1 чудесным образом зашел спокойно за админа сегодня на одном сервере. На его канале можно спокойно увидеть, как обходит лаунчера и т.д. Также у него есть всякие плюшки, типо удвоить баланс в кабинете и т.д.

Теперь немного о проекте где был взлом: на проекте стоит лицензионная xenfero и аддон портал к ней. Т.е сбрутить пароль админа 0%.
Лаунчер платный от сашка.

Если посмотреть группу с его взломами, то у всех серверов только одна похожая вещь, это сервер mc.
Получается дыра в где-то в ядре сервера. Я как знаю, раньше можно было подкинуть пару пакетов и спокойно зайти под чужого юзера, но это давно уже пофикшено в ядре.
Также интересная вещь, что у него в друзьях известный барталамео который популярен своими дюпами.

Теперь немного лога, на этом моменте он заходит на сервер из под амина и получает спокойно доступ к бд pex и также повышает права другому челу.

Код:

[00:00:23] [User Authenticator #239/INFO]: UUID of player Shadow is 53686164-6f77-0000-0000-000000000000
[00:00:24] [Netty IO #3/INFO]: Client protocol version 1
[00:00:24] [Netty IO #3/INFO]: Client attempting to join with 55 mods : [email protected],ProjRed|[email protected],BuildCraft|[email protected],appliedenergistics2-core@rv1-stable-1,[email protected],[email protected],[email protected],ProjRed|[email protected],[email protected],BuildCraft|[email protected],[email protected],[email protected],[email protected],[email protected],ProjRed|[email protected],[email protected],[email protected],[email protected],ProjRed|[email protected],appliedenergistics2@rv1-stable-1,[email protected],[email protected],[email protected],BuildCraft|[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],BuildCraft|[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],NEIAddons|[email protected],[email protected],[email protected],BuildCraft|[email protected],[email protected],[email protected],ProjRed|[email protected],[email protected],NEIAddons|[email protected],BuildCraft|[email protected],<CoFH ASM>@000,NEIAddons|[email protected],NEIAddons|[email protected],ProjRed|[email protected],ProjRed|[email protected],ProjRed|[email protected],[email protected],[email protected],BuildCraft|[email protected]
[00:00:24] [Netty IO #3/INFO]: Attempting connection with missing mods [IC2LaserFix, worldedit] at CLIENT
[00:00:24] [Server thread/INFO]: [Server thread] Server side modded connection established
[00:00:24] [Server thread/INFO]: Shadow [/212.124.9.38:63125] logged in with entity id 1189977 at ([world] -329.23918873334327, 74.5, 447.5508100131481)
[00:00:25] [Netty IO #3/INFO]: [L]<Taksa> давай сюда
[00:00:25] [Server thread/INFO]: [L][m[0;37;22m[[0;32;22mИгрок[0;37;22m][0;37;1m Taksa[m: давай сюда[m
[00:00:26] [Server thread/INFO]: Shadow issued server command: /we cui
[00:00:31] [Server thread/INFO]: [Scavenger] Player MrGigabytechange world from world to DIM-1
[00:00:32] [Server thread/INFO]: MrGigabyte issued server command: /we cui
[00:00:36] [Server thread/INFO]: Shadow issued server command: /pex config permissions.backends.sql.uri
[00:00:37] [Server thread/INFO]: Player kampot dismantled  (cofh.thermalexpansion.block.tank.BlockTank@6d9de823:3) at (794.0,73.0,1193.0)
[00:00:37] [Server thread/INFO]: Player kampot dismantled  (cofh.thermalexpansion.block.tank.BlockTank@6d9de823:3) at (793.0,74.0,1193.0)
[00:00:41] [Netty IO #3/INFO]: [L]<Taksa> хочеш
[00:00:41] [Server thread/INFO]: [L][m[0;37;22m[[0;32;22mИгрок[0;37;22m][0;37;1 m Taksa[m: хочеш[m
[00:00:44] [Server thread/INFO]: Player kampot dismantled  (cofh.thermalexpansion.block.tank.BlockTank@6d9de823:3) at (792.0,73.0,1193.0)
[00:00:44] [Server thread/INFO]: Shadow 1issued server command: /pex config permissions.backends.sql.password
[00:00:46] [Server thread/INFO]: Player kampot dismantled  (cofh.thermalexpansion.block.tank.BlockTank@6d9de823:3) at (793.0,73.0,1194.0)
[00:00:47] [Server thread/INFO]: GloomUnderNight issued server command: //wand
[00:00:50] [Netty IO #3/INFO]: [L]<Taksa> отдай джетпак
[00:00:50] [Server thread/INFO]: [L][m[0;37;22m[[0;32;22mИгрок[0;37;22m][0;37;1m Taksa[m: отдай джетпак[m
[00:00:52] [Server thread/INFO]: Shadow issued server command: /pex config permissions.backends.sql.user
[00:01:19] [Server thread/INFO]: Shadow issued server command: /pex user TheKoljas1337 add *
[00:01:21] [Server thread/INFO]: Shadow lost connection: Disconnected

Мы конечно уже приняли меры. Но вопрос, у кого какие есть догадки как такое можно было провернуть?

 

Забыл дополнить, что на 3 серверах один и тот же симптом. Зашли сразу за админа и хакнули

насчет топ серверов, чекайте их группу, их также успешно ..... Но видимо позднее у них была договоренность.

 

- Дыры в сайте
- Дыры в веб-части лаунчера
- Брут через веб-часть лаунчера (защиты от брута нет ни в одном лаунчере)

Есть ещё вопросы по поводу того, как у Вас shshokv3 общается сайтом. Можно в ЛС.

 

Судя по названию, проекты не плохие были хакнуты.. На таких проектах у администраторов ясен пень пароль over > 25 символов, разного регистра и зачастую создан автоматичести.. Вряд ли библиотека брута потянет такое.

 

Если бы дыры были на сайте и веб части, то через игру бы не узнавали доступ к бд сайта, когда все пасы и так хранятся в конфигах. Дыра где-то между сервером и сессией.
С сайтом? Клиент общается с сокетом вдски, после чего вдска чекает данные в базе в зависимости от результата выдаётся сессия и т.д.
Брут также отпадает, это прекрасно отслеживается. Косяк в том, что на админа сразу зашли, без всяких ошибок о входе. Видимо узнав кто админ проекта с помощью форума, уже было не сложно угадать кто админ в игре.
Пароль попросту отгадать невозможно, а сбрутить достаточно долго.
Ибо сам пароль имеет примерно такой вид: #$#ret3dFer6fDASt4t5#$

 

В общем, нужно больше логов. У Вас фрагмент, где взлом уже произошёл.
Теория с кривой проверкой сессией вполне возможна - у всех взломанных проектов есть сервера на версии 1.7.10.

 

Да это понятно, что требуется больше информации, предоставил всё что смог, увы.
Сашок отрицает конечно, что трабл в его лаунчере, но я почему-то тоже склоняюсь к тому, что проблема где-то в сессии.
Интересно то, что в группе продают они какой-то УНВ, который ломает любого игрока на сервере, забавно конечно)

 

Если интересно как взломал, через что и почему, напиши в скайп, объясню все с подробностями, юмора достаточно

 

да юмора и так достаточно, добавил ))

 

Ерунда всё это, сбрутили/дыра в веб-части, но в маине с этим всё нормально, ищите проблемы в своих бубликах.

 

А вот тут ты совсем неправ, защита от брута есть в сашке, может и слабая, но есть.
И я уверен на 90% что это все фейк взломы, чтоб школота канал накручивала своими просмотрами. Чувак там конечно красава, в группе вк сразу банит как только начинают подозревать что наипалово .

 

Тут я согласен, списывался с чуваком который это делает, это фейк, как сайты некоторые, так и взломы

 

Брут, видел группу где раздавал админки и тп
Если найду скину

 

Если это не фейк, нужно просто разобраться, что общего между всеми взломанными проектами. Я не думаю, что он к каждому проекту отдельный подход ищет, у них у всех должна быть общая уязвимость.
1. Какой движок форума
2. Какой движок сайта
3. Какие версии ядер серверов
4. Какой лаунчер

Ну по логам инфы мало. Игрок заходит и сразу прописывает команды. Непонятно, заходил ли он ещё раньше. И если да, то что делал. Не помешало бы пробить его на мульты и проверить, что он делал со всех аккаунтов

 

Один из перечисленных проектов ломали через форум IPB.

 

Ну тогда лучший способ обезопаситься - писать собственный форум...
Хотя я думаю, что все эти уязвимости яйца выеденного не стоят. Просто невнимательность.
И да спасут вас логи

 

У всех проектов разные форумы, лаунчеры, скрипты. Связывает только, что у всех котел и идёт работа со сессией через лаунчер.

 

ой да ладно, был один сервер с >500ч ,у админа был пароль 12341234, не давно брутил(уже забросил)) )

 

Может ли это быть связано с UUID?
Но в прикреплённом логе мало инфы. Всё, что делает человек, можно отследить с помощью логов. Абсолютно всё

 

И мне скинь, тоже интересно где опять все полимеры просрали.