Rejoignez-nous sur le discord Urban Terror France !
Forums Échanges et discussions entre membres de la communauté
[Résolu] Sécurité du mot de pass rcon ?
[Résolu] Sécurité du mot de pass rcon ?
Bonjour à tous,
Depuis quelques jours, j'ai mis à disposition un serveur en TS (sous linux) pour les joueurs de Urban Terror.
J'ai pu constater après un jour que le mot de pass rcon avait mystérieusement changé après qu'un clan de quatre allemands aient décidé de mettre mon serveur à part pour faire leur partie (en matchmode) tranquille.
J'ai donc changé le mot de passe en quelque chose de plus compliqué. Et pourtant, en vérifiant l'activité de mon serveur le lendemain, que vois-je ?
Après avoir changé le mot de passe puis reconstaté que ces personnes tentaient sans arrêt de le rechanger (plusieurs lignes "bad rcon password" suivant le moment où j'avais changé le pass), je décidai d'ajouter leurs IP respectives à la banlist de mon serveur puis de les kicker.
Je suis pourtant très gêné par ce désagrément, semblant se reproduire sur ce serveur. Soit il y a un exploit non fixé dans ma version qui concerne le mot de passe (le gars lance un vote alors qu'il est tout seul sur le serveur, puis parvient à modifier le mot de passe...), soit il y a quelque chose que j'ai mal réglé.
Je précise que ce fait, comme déjà précisé ci-dessus, ne s'est à ce jour reproduit deux fois (aujourd'hui la deuxième), par les mêmes personnes (même range d'IP & tags de clans).
Merci d'avance pour votre aide,
Elfix
Depuis quelques jours, j'ai mis à disposition un serveur en TS (sous linux) pour les joueurs de Urban Terror.
J'ai pu constater après un jour que le mot de pass rcon avait mystérieusement changé après qu'un clan de quatre allemands aient décidé de mettre mon serveur à part pour faire leur partie (en matchmode) tranquille.
J'ai donc changé le mot de passe en quelque chose de plus compliqué. Et pourtant, en vérifiant l'activité de mon serveur le lendemain, que vois-je ?
Comme vous pouvez le remarquer, une personne tente un mot de passe rcon (qui ne fonctionne pas), puis lance un vote qui est approuvé (normal, le gars est seul sur le serveur pour le moment...) et, il parvient à changer le mot de pass rcon (sans visiblement le trouver, puisque lorsque je tape "rconpassword", la console me répond la ligne ci-dessous) :broadcast: print "^4|-SK-|{EV^7 entered the game\n"
ClientBegin: 0
Bad rcon from 0.0.0.0
slap
broadcast: print "|-SK-|{EV called a vote.\n"
broadcast: print "Vote passed.\n"
Player x is not on the server
Rcon from 0.0.0.0
slap
Rcon from 0.0.0.0
matchmode
Rcon from 0.0.0.0
slap
Rcon from 0.0.0.0
map
Puis quatre autres joueurs, du même clan, se connectent au serveur."rconpassword" is:"kevin^7" default:"^7"
Après avoir changé le mot de passe puis reconstaté que ces personnes tentaient sans arrêt de le rechanger (plusieurs lignes "bad rcon password" suivant le moment où j'avais changé le pass), je décidai d'ajouter leurs IP respectives à la banlist de mon serveur puis de les kicker.
Je suis pourtant très gêné par ce désagrément, semblant se reproduire sur ce serveur. Soit il y a un exploit non fixé dans ma version qui concerne le mot de passe (le gars lance un vote alors qu'il est tout seul sur le serveur, puis parvient à modifier le mot de passe...), soit il y a quelque chose que j'ai mal réglé.
Je précise que ce fait, comme déjà précisé ci-dessus, ne s'est à ce jour reproduit deux fois (aujourd'hui la deuxième), par les mêmes personnes (même range d'IP & tags de clans).
Merci d'avance pour votre aide,
Elfix
Modifié en dernier par Elfix le 21 mai 2010, 20:00, modifié 1 fois.
Re: Sécurité du mot de pass rcon ?
Désactive les votes, il s'agit d'une faille.
Ou sinon, télécharge ce patch : http://www.snipersgaulois.com/downloads.10.php
Ou sinon, télécharge ce patch : http://www.snipersgaulois.com/downloads.10.php
Re: Sécurité du mot de pass rcon ?
Merci infiniment !
Elfix
Elfix