Ja Leute ich find es echt zum kotzen , seid ca einen halben Jahr betreibe ich einen Medal of Honor Server und dieser wird permanent von Scriptkiddis mit irgentwelchen Exploits gecrash`t. Ein betreiben des Server`s ohne ein loop startscript ist gar nicht mehr möglich.

Ich habe in das Startscript nun eine Zeile eingebaut, das ich bei jedem Crash eine Email zugestellt bekomme. Das Ergebnis war erschreckend :(
Sage und schreibe 500 Crash`s in 2 Wochen...

Und zwar wird der Server immer dann extrem gecrasht wenn man kurz zuvor die Extremcheater aimbot usw. gekickt hat. Der Server verabschiedet dann ohne eine Meldung.

Ein 2. Exploit legt sogar die whileschleife lahm weil der Server einfach hängt.
Dort bekomme ich folgende Meldung in den Logs:
ASSERT: [fgame/g_main.cpp:94] Stopping due to possible infinite torso state loop
(fyi)
ASSERT: [qcommon/common.c:406] Stopping due to possible infinite torso state loop
(fyi)
********************
ERROR: Stopping due to possible infinite torso state loop

********************
----- Server Shutdown -----
------ Unloading fgameded.so ------
---------------------------
mohaabof ist es nicht , das habe ich schon selbst getestet und darauf zeigt der Server keine Reaktion.

Ich weiss echt nicht mehr weiter , und ich könnte wetten es geht den anderen Mohaabetreibern hier ähnlich...


Nun meine Fragen:
Welche Exploits werden dort genau verwendet? Links?
Gibt es Patches? Wenn ja wo , hab vergebens nach was aktuellen gesucht!
Wenn nicht ... Warum werden die Lücken nicht von jemanden gefixt? Wer hat das Zeug dazu?

Greeez Oli

Ja Leute ich find es echt

Nun meine Fragen:
Welche Exploits werden dort genau verwendet? Links?
Gibt es Patches? Wenn ja wo , hab vergebens nach was aktuellen gesucht!
Wenn nicht ... Warum werden die Lücken nicht von jemanden gefixt? Wer hat das Zeug dazu?

Greeez Oli

1) Sieh doch mal in die Server/tcpdumplogs.
2) Herstellerseite?, Supportforen?
3) oder gar Support eingestellt?

Naja :rolleyes:

bist du dir sicher,dass es angriffe auf das mohaa programm sind?

und das die reaktion des spiels (sprich absturz) nicht auf ein loch im system zurückzuführen ist?

hast du mal nachgesehn was sonst noch auf dem server läuft? vllt war ein exploit erfolgreich und ausser dir benutzt noch jmd den server für irgendwelche sachen?

nur so als denkanstoß

bist du dir sicher,dass es angriffe auf das mohaa programm sind?

und das die reaktion des spiels (sprich absturz) nicht auf ein loch im system zurückzuführen ist?

hast du mal nachgesehn was sonst noch auf dem server läuft? vllt war ein exploit erfolgreich (mit zugehörigem payload ;) ) und ausser dir benutzt noch jmd den server für irgendwelche sachen?

nur so als denkanstoß

Ich weiss sehr wohl was alles auf meinen Server läuft...
Das Problem tritt ja auf wenn man bestimmte Cheater bannt und ein paar Sekunden später macht der Mohaaserver nen restart. Und ich bin nicht alleine mit diesem Problem...
http://www.foren.f7c-network.com/showthread.php?t=38610

PS. Bin ich hier der einzigste der einen Mohaaserver betreibt?

Hi!


Wenn nicht ... Warum werden die Lücken nicht von jemanden gefixt? Wer hat das Zeug dazu?


Ist der Quellcode vom Mohaa Server überhaupt frei verfügbar? Wenn nicht dann kann das ja niemand außer dem Programmierer fixen, und soweit ich weiß wurde der Support für Mohaa längst eingestellt. Das Spiel hat ja schon ein paar Jährchen aufm Buckel...


PS. Bin ich hier der einzigste der einen Mohaaserver betreibt?

Ich denke mal so viele Serveradmins die nen Mohaa Server laufen haben gibt es nicht mehr. Frag doch vielleicht in nem Mohaa Fanforum nach, vielleicht findest Du da noch Serveradmins die nen Mohaa Server laufen haben.

zwei Ideen:

1. Es waere hilfreich wenn Du versuchst herauszufinden, wie genau der server gecrasht wird (Musst Du Dich mal mit so nem kiddy anfreunden ;). Eventuell kann man sich dann eine iptables regel ausdenken, um das zu verhindern.

2. Wenn cheater automatisch gekickt werden kann man doch bestimmt auch irgendwie deren IP mitloggen und instantan automatisch den kompletten traffic von Ihnen droppen - bevor Sie die bösartigen Pakete senden.

Achja, vielleicht hilft das ja schon weiter:
http://www.fpsadmin.com/forum/printthread.php?t=9799

Also ich habe nun 3 Exploits auf http://milw0rm.com gefunden:

http://milw0rm.com/exploits/1776 scheint für WIN32 zu sein , bekomme es nicht kompiliert.

http://milw0rm.com/exploits/826 ist für Linux. das scheint es zu sein , bekomme ich leider auch nicht richtig kompiliert, Speicherzugriffsfehler...

http://milw0rm.com/exploits/357 für Windows und Linux , dieses Exploit funktioniert auf meinen Server nicht, das Problem wurde also bei http://icculus.org behoben.
Es kann also nur das 2 also 826 sein.
Fals es jemand funktionstüchtig komipliert bekommt würde ich mich freuen wenn er es mir an zyrus@zyrusthc.homeip.net mailt, da es hier im Forum unangebracht ist darüber zu diskutieren.

Wenn ich mich richtig erinnere dann ist ein Buffer Overflow ein Pufferüberlauf wobei ein vorgeschriebener Wert überschritten wird und dadurch andere Speicherbereiche Überschrieben werden was dann zum Absturz des Programms führt..

Kann mir nun jemand sagen wie man das von 826 ausgenutze Remote Puffer Overflow fixen kann?

So habe nun zwischenzeitlich mit iptables versucht den Port vom Gameserver 12203 und den Gamspyport 12300 grosse Pakete zu Dropen:
iptables -A INPUT -i venet0 -p udp --dport 12203 -m length --length 180:50000 -j DROP
iptables -A INPUT -i venet0 -p udp --dport 12300 -m length --length 180:50000 -j DROP
leider erfolglos :( , Leider kann er immer noch von den Typen gecrasht werden.

Nun werd ich mal versuchen so ein Paket mit tcpdump mitzuschneiden, um hoffentlich genau Informationen über das Paket zubekommen was zu crash führt.

Kompilieren ist nicht das Problem, allerdings funktioniert es auf meinem 2.15 Spearhead Server unter Gentoo nicht.
Und Probleme mit Servercrashs durch Script Kiddies hatte ich die letzten 2 Jahre nicht.
Siehe Mail inkl. binary.

Installier dir eine IntrusionDetection
Bei der IPCop-Firewall ist zB Snort dabei.
Kannst dir ja mal anschauen, ob dein Exploit darin enthalten ist.