HILFE - Sicherheits lücke !

[aschti]

hi @ all,

mein clan hat ein massives problem. anscheinend sind ein paar leute etwas neidisch das unsere cod2 server sogut wie rund um die uhr befüllt sind.

es kommt fast jeden tag vor das jemand irgendwie das rcon anscheinend raus bekommt und tut den servername und slots usw ändern sowie kickt leute etc.

unser rcon wird momentan fast täglich geändert. von einfachen kombinationen bis zu 32stelligen kennwörtern mit groß/klein/zahlen usw.

es gibt tools wie wir schon rausgekommen haben die üner ip und gameserver oprt das rcon über eine log auslesen können.

alle logs habe ich deaktiviert jeder gameserver hat einen eigenen benutzer und heimatverzeichniss. die rechte für ordner und dessen inhalte wo logs enstehen könnten,
oder wo das rcon in configs liegt haben alle 644 alle anderen varianten wie 770 usw hab ich schon durch.

die game server sind auch nicht mit dme apache verbunden oder so das man da irgentwie landen könnte.

die frage ist wie kann ich unterbinden das jemand einfach so per irgendeinen tool es schaft über gameserver_ip+port inhalte auszulesen ?

danke für rasche hilfestellung

gruß aschti

[minimike]

Mit einer passenden Firewallkonfiguration? Mit Knowledge über Serveradministration?

[storm]

...
es gibt tools wie wir schon rausgekommen haben die üner ip und gameserver oprt das rcon über eine log auslesen können.
...
die frage ist wie kann ich unterbinden das jemand einfach so per irgendeinen tool es schaft über gameserver_ip+port inhalte auszulesen ?

Tools? Aus welchen Quellen? Nutzen die eine vom Hersteller eingebaute Funktionalität oder ist das eine echte Lücke? Meine Vorgehensweise wäre: 1. tool selbst besorgen, 2. Lücke/Funktionalität identifizieren und 3. selbst schließen und/oder den Hersteller in Kenntnis setzen und um Aufklärung bitten. Wenn 1. scheitert bei 2. ansetzen und wenn möglich: logs anschalten und IP(s) feststellen, von denen die "Angriffe" kommen (weitere Infos zur IP besorgen, geo-location, Provider,...). Die Devise muss sein: so viel wie möglich Informationen sammeln. Und: "Für ordentlich Futter sorgen"! Also Betrieb weiterlaufen lassen und gleichzeitig Daten sammeln und an einer Abhilfe arbeiten. Aber das Arbeiten müsst ihr/du selbst bewerkstelligen. Hint: schonmal die Idee des "Insiders" in's Auge gefasst?

mahlzeit, storm

PS: bitte, bitte, auf jeden Fall die Rechtschreibung verbessern, dann lässt sich dein Beitrag auch besser lesen und verstehen (und vor allem schneller *g).

[aschti]

selbst wenn ich die ip des jenigen rausbekomme sofern er keine standleitung hat wechselt er eh alle 24std.
die derzeit betroffenen game-server sidn nur call of duty2.

was wir wissen ist das diese tools es über punkbuster machen und sich darüber die logs & rcon downloaden.

activison reagiert nicht auf emails / evenbalance bzw punkbuster juckt die sache auch nicht da die games nur noch mit kleinen packeten geupdated werden da sie schon ein gewisses alter haben.

ich habe mir nur gedacht vllt gibt es eine besondere einstellung wo ich das downloaden oder einlesen bestimmter user & dessen heimatverzeichniss komplett unterbinden kann, wie ne art komplette abrieglung geht raus aber nix rein.

[Saxman]

[...]wie ne art komplette abrieglung geht raus aber nix rein.

grsecurity kann sowas, da kannst du Gruppen anlegen die server und/oder clients sockets unterbinden.
Alle user in der Gruppe können dann entweder keine server oder client sockets (oder beides) öffnen.
selinux sollte sowas auch können.

Siehe auch hier unter Socket restrictions

[Colttt]

kann man nicht in der auth-log nachgucken wer sich eingeloggt hat und das ganze dann entsprechend gucken wann rcon geändert wurde und denjenigen der zur selben zeit on war, wirds dann wohl gewesen sein, oder stell i mir das grade zu einfach vor?

[aschti]

danke für die tipps ich werds nach und anch abarbetien wenn ich es hinbekommen hab geb ich bescheid