- 11 Luglio 2009
- 236
- 0
- Miglior risposta
- 0
Salve!
Esattamente oggi abbiamo notato che per ben 3 volte sono crashate le nuove mappe (game99).
Dopo 1 crash abbiamo riavviato (a volte ci succede),dopo un altro abbiamo riavviato con i primi sospetti,poi è successo di nuovo e qua ci siamo insospettiti molto,Davide ([GA]kenta) mi ha subito avvertito e comunicato che secondo lui era un attacco di qualche tipo;
gia io lo stavo sospettando ma non ci volevo credere,ma era giusto controllare,crashava solo game99 quindi ho controllato i syserr (system errors) e non ho notato niente di strano dalle solite stringhe,poi ho visto syslog (system logs) e ho notato qualcosa di strano:
ECCO COME HO FATTO A CAPIRE IL TUTTO
I files quando si startano aprono la loro porta e caricano le informazioni POI aprono le comunicazioni del gioco,ma fino ad allora la porta che mettiamo col nome di X era aperta!
Loro entravano dalla P2P,Le connessioni Peer To Peer sono connessioni che avvengono lo scambio di dati da computer a computer,metin2 in realtà usa questa rete per interscambiare (tempo fa,ora non più) le posizioni,le informazioni varie del PG e cs via.
Subito l'occhio mi è saltato qua
Qualcuno firmato col nome di terduic ha cominciato a mandare una serie di packets (pacchetti di informazioni,in questo modo 2 computer comunicano su internet) che il gioco traduceva con il refresh,ovvero l'aggiornamento continuo del file game game99,questo provoca lagg!
Questa è una vera e propria emulazione di connessione di qualcuno con tanto di IP (che hanno tentato di proxare,ma non ci sono riusciti) con tanto di ID del packet e il pointer!
però il contenuto non era riconosciuto input_len indica la grandezza in bytes del contenuto,era vuoto,questo è tipico di un packet emulato!
Qua si ripete il passaggio di prima,ma con un altro messaggio (e qua mi sono insospettito parecchio),stessa funzione ma kiave e opcode diversi (normale...)
qua mi ha indicato che gli attaccanti erano ben 2!
Qua ho trovato la vulnerabilità: le porte Y sono del gioco e nn sono rischiose,ma X era aperta,il firewall non copriva quella porta e quindi ho risolto semplicemente richiudendola,e cosi abbiamo fermato l'attacco
MA NON è FINITA QUA ORA PASSIAMO NOI ALL'ATTACCO!
io e [SGM]Duple non ci siamo fermati,avendo l'IP abbiamo cercato di capire chi era,il mio programma per rintracciare l'IP non era finito quindi ci siamo messi a cercare un po dappertutto,ecco il risultato:
metin4you.eu a 89.188.136.55
Italy
net.89.188.136.ip.55.ss.televideocom.com 89.188.128.0/19
AS39887
TELEVIDEOCOM-AS TELEVIDEOCOM SRL
ns-soa ns2.misterdomain.eu
167 days old
89.188.137.163
Italy
mrddns001.misterdomain.eu
ns ns1.misterdomain.eu
67 days old
89.188.137.163
Italy
mrddns001.misterdomain.eu
ns2.misterdomain.eu
167 days old
89.188.137.163
Italy
mx 10 mail.metin4you.eu
277 days old
Metin4You è un vecchio server metin2 di cui il proprietario [GA]Coccoz ed io eravamo molto nemici,probabilmente si voleva vendicare!
il che significa che hanno usato un server per farci fuori.
Abbiamo rintracciato anche il proxy che hanno provato ad usare,senza successo:
changed: sajwani(at)pccwbtn.com 20080421
descr: Proxy-registered route object
mnt-by: MAINT-AS3491
remarks: This route object is for a BtN customer route
which is being exported under this origin AS.
remarks: This route object was created because no existing
route object with the same origin was found, and
since some BtN peers filter based on these objects
this route may be rejected if this object is not created.
remarks: Please contact peering(at)cais.net if you have any
questions regarding this object.
source: RADB
dopodiché,con l'IP della vittima abbiamo scannerizzato le porte aperte:
Not shown: 97 filtered ports
PORT STATE SERVICE
21/tcp open ftp
23/tcp open telnet
80/tcp open http
ohohhoo... FTP aperto,significa che hanno messo i files per dossarci!
il DOS è una shell privata,molto potente e telnet l'hanno usato per l'accesso,peccato che telnet l'abbiamo trovato aperto...
abbiamo eseguito l'accesso nella macchina e abbiamo trovato l'IP del proprietario:
15 47.00 ms static-213-205-3-134.clienti.tiscali.it (213.205.3.134)
hohohoho e mo?
e mo abbiamo eseguito uno scan delle porte aperte:
hanno bindato una porta per eseguire le loro porcate,quel tipo di DOS è un exploit che ho anche io per i server metin2,è da quell'exploit che partivano i famosi shutdown,per questo hanno usato Apache,dato che l'exploit si usa tramite un sito!
rpcbind è una porta bindata aperta,da li Duple non ha dato tempo di finire questa frase che ha cominciato a fare 'Completed Parallel DNS resolution'
ovvero la risoluzione delle sue connessioni DNS,ma è un DOS,pertanto provoca l'offline dell'host (persona).
Abbiamo quindi eseguito questo exploit e guarda un po chi è:
Oops! Google Chrome could not find
ieri ho defacciato il loro sito e cercavano vendetta,ma hanno fallito...
EPIC FAIL
p.s: gli abbiamo rubato gli scripts
che questo gli sia di lezione.
ultimo aggiornamento:
abbiamo buttato giu il sito:
l'ho copiato ed incollato esattamente come l'ho scritto sul forum del nostro server metin2
Esattamente oggi abbiamo notato che per ben 3 volte sono crashate le nuove mappe (game99).
Dopo 1 crash abbiamo riavviato (a volte ci succede),dopo un altro abbiamo riavviato con i primi sospetti,poi è successo di nuovo e qua ci siamo insospettiti molto,Davide ([GA]kenta) mi ha subito avvertito e comunicato che secondo lui era un attacco di qualche tipo;
gia io lo stavo sospettando ma non ci volevo credere,ma era giusto controllare,crashava solo game99 quindi ho controllato i syserr (system errors) e non ho notato niente di strano dalle solite stringhe,poi ho visto syslog (system logs) e ho notato qualcosa di strano:
ECCO COME HO FATTO A CAPIRE IL TUTTO
Codice:
Perfavore,
Entra
oppure
Registrati
per vedere i codici!
I files quando si startano aprono la loro porta e caricano le informazioni POI aprono le comunicazioni del gioco,ma fino ad allora la porta che mettiamo col nome di X era aperta!
Loro entravano dalla P2P,Le connessioni Peer To Peer sono connessioni che avvengono lo scambio di dati da computer a computer,metin2 in realtà usa questa rete per interscambiare (tempo fa,ora non più) le posizioni,le informazioni varie del PG e cs via.
Subito l'occhio mi è saltato qua
Codice:
Perfavore,
Entra
oppure
Registrati
per vedere i codici!
Codice:
Perfavore,
Entra
oppure
Registrati
per vedere i codici!
Questa è una vera e propria emulazione di connessione di qualcuno con tanto di IP (che hanno tentato di proxare,ma non ci sono riusciti) con tanto di ID del packet e il pointer!
però il contenuto non era riconosciuto input_len indica la grandezza in bytes del contenuto,era vuoto,questo è tipico di un packet emulato!
Codice:
Perfavore,
Entra
oppure
Registrati
per vedere i codici!
Qua si ripete il passaggio di prima,ma con un altro messaggio (e qua mi sono insospettito parecchio),stessa funzione ma kiave e opcode diversi (normale...)
Codice:
Perfavore,
Entra
oppure
Registrati
per vedere i codici!
Codice:
Perfavore,
Entra
oppure
Registrati
per vedere i codici!
Qua ho trovato la vulnerabilità: le porte Y sono del gioco e nn sono rischiose,ma X era aperta,il firewall non copriva quella porta e quindi ho risolto semplicemente richiudendola,e cosi abbiamo fermato l'attacco
MA NON è FINITA QUA ORA PASSIAMO NOI ALL'ATTACCO!
io e [SGM]Duple non ci siamo fermati,avendo l'IP abbiamo cercato di capire chi era,il mio programma per rintracciare l'IP non era finito quindi ci siamo messi a cercare un po dappertutto,ecco il risultato:
metin4you.eu a 89.188.136.55
Italy
net.89.188.136.ip.55.ss.televideocom.com 89.188.128.0/19
AS39887
TELEVIDEOCOM-AS TELEVIDEOCOM SRL
ns-soa ns2.misterdomain.eu
167 days old
89.188.137.163
Italy
mrddns001.misterdomain.eu
ns ns1.misterdomain.eu
67 days old
89.188.137.163
Italy
mrddns001.misterdomain.eu
ns2.misterdomain.eu
167 days old
89.188.137.163
Italy
mx 10 mail.metin4you.eu
277 days old
Metin4You è un vecchio server metin2 di cui il proprietario [GA]Coccoz ed io eravamo molto nemici,probabilmente si voleva vendicare!
il che significa che hanno usato un server per farci fuori.
Abbiamo rintracciato anche il proxy che hanno provato ad usare,senza successo:
changed: sajwani(at)pccwbtn.com 20080421
descr: Proxy-registered route object
mnt-by: MAINT-AS3491
remarks: This route object is for a BtN customer route
which is being exported under this origin AS.
remarks: This route object was created because no existing
route object with the same origin was found, and
since some BtN peers filter based on these objects
this route may be rejected if this object is not created.
remarks: Please contact peering(at)cais.net if you have any
questions regarding this object.
source: RADB
dopodiché,con l'IP della vittima abbiamo scannerizzato le porte aperte:
Not shown: 97 filtered ports
PORT STATE SERVICE
21/tcp open ftp
23/tcp open telnet
80/tcp open http
ohohhoo... FTP aperto,significa che hanno messo i files per dossarci!
il DOS è una shell privata,molto potente e telnet l'hanno usato per l'accesso,peccato che telnet l'abbiamo trovato aperto...
abbiamo eseguito l'accesso nella macchina e abbiamo trovato l'IP del proprietario:
15 47.00 ms static-213-205-3-134.clienti.tiscali.it (213.205.3.134)
hohohoho e mo?
e mo abbiamo eseguito uno scan delle porte aperte:
Codice:
Perfavore,
Entra
oppure
Registrati
per vedere i codici!
Codice:
Perfavore,
Entra
oppure
Registrati
per vedere i codici!
rpcbind è una porta bindata aperta,da li Duple non ha dato tempo di finire questa frase che ha cominciato a fare 'Completed Parallel DNS resolution'
ovvero la risoluzione delle sue connessioni DNS,ma è un DOS,pertanto provoca l'offline dell'host (persona).
Abbiamo quindi eseguito questo exploit e guarda un po chi è:
Oops! Google Chrome could not find
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
ieri ho defacciato il loro sito e cercavano vendetta,ma hanno fallito...
EPIC FAIL
p.s: gli abbiamo rubato gli scripts
che questo gli sia di lezione.
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
< tramite un exploit precedentemente trovato da me duple ha fatto sta stronzata ma non ha mesos la mia firma Perfavore,
Entra
oppure
Registrati
per vedere i Link!
< qua invece siultimo aggiornamento:
abbiamo buttato giu il sito:
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
l'ho copiato ed incollato esattamente come l'ho scritto sul forum del nostro server metin2
io ora non gioco ne tanto meno conosco i server di Metin 2 ma non credo che proxarsi si una cosa così difficile... xD comunque io vi consiglio di non andare in giro per il web dicendo che avete buttato giù il loro sito. Anche se per una giusta causa è sempre un'azione illegale e loro potrebbero rivolgersi alla polizia postale. ;)
