[B3] Requêtes SQL pour aider à la recherche de cheater

[Beber888]

Je vous propose quelques requêtes pour aider les admins à analyser la base "Clients" pour sortir des joueurs suspicieux.

//Plusieurs fois la même IP connectée (Change beaucoup de guid)

Code : Tout sélectionner

SELECT id, ip, sum(connections), MIN(name), count(*) FROM clients group by ip having count(*) > 1 order by count(*) DESC;

//Pour une IP donnée, affiche nom, date et guid (Permet de voir si des guids différents se sont connecté le même jour avec la même IP)

Code : Tout sélectionner

SELECT id, connections, guid, name, FROM_UNIXTIME(time_add), FROM_UNIXTIME(time_edit) FROM clients where ip ='Mettre l'IP';

//Le même nombre de connection et de nombre de GUID différents (Change de guid à chaque fois)

Code : Tout sélectionner

SELECT id, ip,guid, sum(connections),count(*), MIN(name) FROM clients group by ip having count(*) > 1 and count(*) = sum(connections) ORDER BY count(*) DESC;

//Guid masqué par l'utilisateur (Confirme la présence d'un Hack ?)

Code : Tout sélectionner

SELECT id, ip, connections, name FROM clients where ip = guid;

//Guid avec des "/", ce qui n'existe pas (certain hack insere la date dans le guid)

Code : Tout sélectionner

SELECT id, ip, guid, connections, name FROM clients where guid like '%/%';

[Asche]

Faudrais en faire un plugin pour B3 !

[Beber888]

Ouais il existe déja un truc dans le genre, mais le probleme c'est que les réponses demande une analyse.
Certains cas sont flagrants (genre / dans le guid), d'autre moins alors laisser un plugin faire le boulot sans contrôle, je suis pas sur !!!

[Asche]

Un plugin ne veut pas dire qu'on automatise tout !

Par exemple, le plugin pourrais envoyer un mail à l'admin des IP possèdent plus de "X" GUID

[Beber888]

Ouais pourquoi pas, je laisse l'idée faire son chemin, si des mecs connaissent d'autre requêtes du même genre et on verra dans quelque temps pour le plugin (bientôt je vais en faire un par semaine...)

[Elfix]

Très intéressant.

De mon côté, je greppe mes games.log à la recherche de GUIDs contenant des caractères qu'il ne devrait pas y avoir.

Par exemple, je viens tout juste de faire cette commande :

Code : Tout sélectionner

urtsr8@sd-3529:~/.q3a/q3ut4/gamelog$ grep '\\cl_guid\\[^\\]\+:[^\\]\+\\'  gameslog_11-02-2* 

(la regexp est supposée récupérer les joueurs ayant ":" dans leur \cl_guid.)

Ceci m'indique entre autres cette ligne :

Code : Tout sélectionner

gameslog_11-02-20.log:  0:25 ClientUserinfo: 12 \ip\151.67.127.233:14152\name\Sgt. Marco \racered\2\raceblue\2\rate\8000\ut_timenudge\0\cg_rgb\255 0 0\cg_predictitems\0\cg_physics\1\snaps\20\model\sarge\headmodel\sarge\team_model\james\team_headmodel\*james\color1\4\color2\5\handicap\100\sex\male\cl_anonymous\0\gear\FZAARWX\teamtask\0\cl_guid\18:18:59ktkwftmkemfew302/19/11\weapmodes\01000110220000020002

Pourtant, en jetant un nœil dans la db de b3, voici ce que je trouve concernant le joueur "Sgt. Marco " :

Code : Tout sélectionner

mysql> select id,ip,guid,name from clients where ip = "151.67.127.233";
+-------+----------------+----------------------------------+-----------+
| id    | ip             | guid                             | name      |
+-------+----------------+----------------------------------+-----------+
| 11872 | 151.67.127.233 | 186D82E47D287CBA05A69B5C929AA50B | Sgt.Marco | 
+-------+----------------+----------------------------------+-----------+

Ce qui m'indique que malgré le GUID mal formé dans le game log, il apparaît normalement dans la db de b3. Je me demande donc si faire de tels tests sur uniquement celle-ci sera mieux que directement dans le game log.

Je sais qu'il y a quelques serveurs qui ont un script exécutant une commande "rcon addIP" sur l'IP d'un joueur se connectant avec, par exemple, un \cl_guid mal formé ou avec \qport\1337, mais tout cela en se basant sur le game.log. Malheureusement, je suis trop noob dans ce domaine pour oser quelque chose (si quelqu'un d'autre pouvait prendre par contre, ça ferait sans doute bien avancer les choses ).

EDIT : Je viens de faire ces tests également sur la base de données de b3, et j'ai également eu des (trop nombreux) résultats. Il est sûr que faire ce genre de recherche directement sur une base de données est plus aisé que de fouiller dans games.log, peut-être que complémenter les deux résultats peut aider ?

[Jus_Dabricot]

il peut y avoir plusieurs IP sur 1 Guid par contre le contraire c'est un peu plus suspicieux.
Dans le deuxième cas il faut définir un seuil de tolérance dans le temps. Je penses aux types qui formatent leur windows toutes les 3 semaines sans sauvegarder leur profil user. (y en a plein) et ils comprennent jamais pkoi il perdent leur droits, stats, certificat ssl.... (tsss)

Les 2 pistes d'investigations sont intéressantes.


//Guid masqué par l'utilisateur (Confirme la présence d'un Hack ?)
Oui et Non. C'est surtout un pb de droit sur le qkey. B3 le remplace automatiquement par une IP.

Sous windows je me demande si le pb viens pas de lancer 1 fois en admin, et ensuite en User (a tester)

PS: j'edit le titre pour qu'il soit un peu plus parlant.