Faille antiban ?

[Vokal]

Bien le bonsoir/bonjour à tous et à toutes.

En cherchant sur le net, j'ai pu m'apercevoir que les cheaters ont trouvé une faille dans le processur du ban.
Je n'en connais pas plus sur le fonctionnement de cette faille.

J'aimerai donc savoir si quelqu'un parmis vous ont les même problèmes, càd : des cheaters qui reviennent sans cesse après qu'on les ai bannis.

J'aimerai malheureusement aussi vous faire la remarque que mes recherches m'ont permis de découvrir l'existance d'un installateur urt avec cheats inclus...

Donc, je m'adresse à vous, communauté UrT France, de m'éclairer sur la situation de votre serveur ainsi que les solutions que vous aurez à apporter si vous en avez.

Bon frags à tous et bonne journée.

PS : je m'en excuse si c'est la mauvaise section.

[Linktim]

Ouais ça s'appelle redémarrer son routeur pour obtenir une nouvelle adresse ip.

[Fenril]

Ou supprimer son q3key si c'est un ban par guid (genre avec b3)

[myre]

bonjour,

je vient d'avoir le même problème depuis quelques jours, un cheater revient avec toujours la même ip (pas d'ip dynamique) malgré que cette ip figure bien dans la banlist.
un ban de la plage ip ne changent rien non plus.

autre chose, a chaque fois qu'il se connect , les admins n'ont plus de commande rcon ...
il ne hack pas le rcon mais empêche toutes requêtes.

aprés consultation des logs et en creusant un peu, nous avons trouvé plus ou moins de la façon qu"il procède sans pour autant rien faire contre sa présence.

est ce connus ?
est ce nouveau ? (j'en ai peur)

afin d'éviter de diffuser l'information et sauf avis contraire, j'évite de donner plus de détails sur la façon dont il procède mais je les tient a disposition de toutes personnes bienveillante.

[fo0]

Re Fenril
Histoire d'eclaircir un peu, Myre parle d'une ip fixe, qui est attribué par votre FAI (basé sur la mac adresse de votre box) vous pouvez rebooter autant de fois ca ne changera pas votre ip WAN.Donc dans le cas de Myre c'est une ip fixe et non dynamique comme chez orange ou autre FAI.
Le soucis ne réside veritablement dans l'ip fixe ou pas car même si il avait une ip dynamique il ne rpend pas le soin de reboot pour en changer.Il arrive quand même à se connecter malgré le current ban sur son ip .

Myre a eu la gentillesse de me filer les logs de connections de ce gars.

-Un challenge correct pour la connection SAUF que à la suite de cl_guid il y a un jolie payload /AAAAA.../AAAAA... qui doit surement faire un overflow et passer l'étape de la comparaison ip_client avec la banlist.txt et hop ! (pas encore essayer en local)

-Comme le gars il veut evidement cheater en paix pourquoi pas bloquer le rcon, pas de soucis le rcon en remote (port du jeu) suffit de flooder pour occuper le process à gerer les paquets... (essayer en local et efficace..)
Pour capter comment il faisait j'ai juste dumper ma connection rcon en remote avec le client XQF, comme je ne suis pas sensé avoir le pass rcon j'ai mis un pass au hasard et envoyer la commande status.Bingo le serveur me réponds 'Bad password', je récup mon paquet d'origine et utilise un outil : xxxxxxx --verbose --loop=1000 --intf1=eth1 flood.pcap et voila ca rejoue la paquet comme on veut sur la cible, bloquant l'accés rcon au admin.

Voila, j'espére avoir eclairci un peu le sujet.Si j'ai commis une erreur n'hesitez pas à me corriger !

[Courgette]

@myre: il faut que la cvar g_filterban soit activée dans votre config de serveur pour que le fichier de ban soit pris en compte

Code : Tout sélectionner

g_filterban 1

peux-tu confirmer que cette variable est bien activée sur votre serveur ?

[myre]

curieusement cette cvar est inexistante sur le dit serveur ....
pourtant je l'ai bien sur les 2 autres serveurs.
mauvaise manip de ma part ???

je la rétablit et attend de voir si notre cas ce reproduit.

concernant les commandes rcon bloqués, bien avant qu'il se connecte sa spam dans le log :

Code : Tout sélectionner

Bad rcon from 85.246.6.162:51363:
cvarlist
Bad rcon from 85.246.6.162:51363:
cvarlist
Bad rcon from 85.246.6.162:51363:
cvarlist
Bad rcon from 85.246.6.162:51363:
cvarlist

ect ...
ce qui rejoint ce que dit fo0.

autre fait, lorsque ensuite il se connecte son ip n'apparait pas contrairement a toutes autres clients, elle apparait ensuite au changement de map.

[myre]

je confirme que malgré g_filterban activé notre gus a pu passé.

pour infos, ayant crée un serveur test chez nitroserv avec l'installation par défaut.
dans la cfg la cvar est inexistante mais la gestion des ban est actif, puisque je me suis volontairement ban
je suppose que soit automatique chez les hébergeurs avec préinstallation du serveur (nitro, verygames, ect ...), mais sa reste une supposition.

J'aimerai malheureusement aussi vous faire la remarque que mes recherches m'ont permis de découvrir l'existance d'un installateur urt avec cheats inclus...

il serait intéressant de donner plus d'infos en MP car si c'est le cas il va falloir trouver une parade avant que sa ce propage.

[Foaly]

J'aimerai malheureusement aussi vous faire la remarque que mes recherches m'ont permis de découvrir l'existance d'un installateur urt avec cheats inclus...

il serait intéressant de donner plus d'infos en MP car si c'est le cas il va falloir trouver une parade avant que sa ce propage.

Si c'était possible, tu pourrais pas télécharger la musique que tu as sur ton baladeur.

[Kalish]

Et ça fait des années que ça existe...

[Ultranoob]

Bad rcon from 85.246.6.162:51363:
cvarlist
Bad rcon from 85.246.6.162:51363:
cvarlist
Bad rcon from 85.246.6.162:51363:
cvarlist
Bad rcon from 85.246.6.162:51363:
cvarlist

Petite question mais le Floodprotect ne bloque t'il pas se genre de flood de rcon ? (aka sv_floodprotect si tu ne l'a pas activer)

par contre avec le guid , énorme

P.S : ah bin non , le sv_floodprotect ne prend pas en compte les commandes rcon , et le Floodprotect du rcon (intégré dans le code) se fait bien avoir.
il n'y a plus qu'a modifier le code pour inclure une intervalle plus longue entre les requêtes avec un mauvais rcon pass (THX xawou)