serfreeman1337

Empire-Host.org - Аренда игровых серверов

We are using private exploit by ZeaL!

Заходите на свой сервер, а в ответ вам вылазит окошко скачки "cstrike.exe" файла? Не можете получить доступ к серверу по RCON? В папке metamod появился файл exec.cfg ? Поздравляю! Вы стали жертвой некого ZeaL! Человека, который построил ботнет и организовал массовый сбрут серверов, в придачу с эксплоитом "появляются файлы)))". Если это всё же случилось... Быстренько можно всё починить.

Чистим файлики:

/addons/metamod/exec.cfg
/addons/amxmodx/configs/maps/ - удалить всю папку

И лечим motd.txt от дряни .

На форуме c-s.net.ua давно есть фикс на этот эксплоит, однако как пишет сам ZeaL : "сам я не вкурсе, однако сообщество пишет что сошки не помагают".

Скачать upfile_fix.7z (891 кб)

Вариант с правами на файл:
Создаем пустой файл /addons/metamod/exec.cfg и ставим на него CHMOD 444 (чтение, чтение, чтение).
Создаем пустую папку /addons/amxmodx/configs/maps/ и ставим на неё CHMOD 444.

Если вы простой плеер и увидели окошко с cstrike.exe .. закройте это окно нахрен. Не нажимайте на "Запустить" или "Сохранить" кнопки. Иначе рискуете пополнить ряды его ботнета :)

PS: RCON пароль на взломанные сервера: zhenya ;)
ZeaL, c помощью его ботнета, армии из компьютеров нубов, организовал массовый сбрут серверов. За секунду я насчитал 5 попыток подбора пароля. Это не есть хорошо, особенно если у вас логи ведутся :)
Уже 623 мб логов мне сгенерировали :)

Защититься можно только одним способом - правилом в iptables на linux:

iptables -I INPUT -p udp -m string --algo kmp --string "XBrute" -j DROP

Просто отшиваем все пакеты, в которых есть строчка XBrute by ZeaL.

Как пишет сам ZeaL, сервера берутся и ставятся на брут из мастер сервера VALVe. Не знаю сколько нужно времени чтобы всё так организовать, но это действительно впечатляет.

У него даже есть своя страничка: http://31.200.239.201/ .

Добавить комментарий