Обнаружил на нашем игровом сервере вредоносную активность приводящую к отказу в обслуживании всех подключенных игроков. Данная уязвимость работает на всех "протестированных" серверах (даже на Арене с ProcessСmd), версия Reunion не имеет значения.
Если заданы параметры:
банит всех игроков на сервере, кроме "атакующего".
Самое интересное, что делает это он "с кнопок" (бинды или алиасы на колесо мышки), находясь в спектраторе.
Кусок вредоносного пакета:
В каждом последующем пакете (начиная со смещения 0x0030), во всех столбцах, например первом, 2-й байт увеличивается на +1, а во втором столбце 1-й байт уменьшается на 1. Это либо "соль" (типа cl_cmdbackup 2), либо смена каких-то координат, поскольку лимиты movecmdrate и stringcmdrate не срабатывают на атакующем.
Временно закрылись от этого так:
У кого-нибудь есть описание структуры этих сетевых пакетов, чтобы можно было дешифровать поступающие "команды" и выработать более надежное решение проблемы?
Если заданы параметры:
Код:
sv_rehlds_movecmdrate_avg_punish "5"
sv_rehlds_movecmdrate_burst_punish "5"
sv_rehlds_stringcmdrate_avg_punish "5"
sv_rehlds_stringcmdrate_burst_punish "5"Самое интересное, что делает это он "с кнопок" (бинды или алиасы на колесо мышки), находясь в спектраторе.
Кусок вредоносного пакета:
Код:
03:43:31.247254 IP x.x.x.x.6174 > 93.85.88.50.27015: UDP, length 799
0x0000: 5257 001f edd4 40a6 7742 93f0 0800 4500 [email protected].
0x0010: 033b 5676 0000 7611 119f bcbb 675a 5d55 .;Vv..v.....gZ]U
0x0020: 5832 181e 6987 0327 a996 0708 00c0 0000 X2..i..'........
0x0030: 0000 5c18 0106 1000 1047 5d52 4004 4f02 ..\......G][email protected].
0x0040: 1075 0621 692f 4e03 665e 2fe9 8d54 074f .u.!i/N.f^/..T.O
0x0050: 3e03 3708 3107 2b58 4047 0830 41e4 7beb >[email protected].{.
0x0060: fd5d fcd1 daed c35a 7b0e ae72 e106 484c .].....Z{..r..HL
0x0070: 6302 cb2d 6595 1dc5 b2f0 073c 8e47 1542 c..-e......<.G.B
0x0080: 0045 2d12 5442 0278 ea35 e706 a55e c6b4 .E-.TB.x.5...^..
0x0090: d815 0229 186a 444e 408b f950 96d3 e948 ...)[email protected]
0x00a0: 7cc2 4550 509f 4300 5807 cff0 5917 30f3 |.EPP.C.X...Y.0.
0x00b0: 1222 3995 b66b 54c0 46d2 dd00 12ab 6645 ."9..kT.F.....fE
0x00c0: 41c2 2282 4553 4879 d432 cb7a e033 5712 A.".ESHy.2.z.3W.Временно закрылись от этого так:
-A INPUT -i eth0 -p udp -m udp --dport 27015 -m length --length 827 -j DROPУ кого-нибудь есть описание структуры этих сетевых пакетов, чтобы можно было дешифровать поступающие "команды" и выработать более надежное решение проблемы?
Последнее редактирование:
