Помогите Взломали сервер через автодонат.

Нет.
Ответы от rcon сервера и должны приходить.

 

Тоесть трейд МС логгирует все команды, даже если они были выполнены через консоль и отправляет тебе? Ну бред же

 

тогда бы "хакер" получил лог о покупке в свой магазин, а взломанный ничего бы не видел в биллинге.
если нет массовых взломов, тут вероятнее всего где-то он проeбaл свои данные от биллинга трейдмс.

 

Я не говорил о всех командах. В логе происходит конкретное действие запрос->ответ.
Трейдмс отправляет команду на сервер, сервер её обрабатывает и отдает ответ.
В чем тут бред?

 

сколько звезд должно сложиться, чтобы получить такой исход событий как показал ТС?
иначе, запрос с изменением пароля исходила из трейдмс и судя по тому, что это видит ТС.. запрос исходил из его панели, не так ли?

 

Смотрите внимательно, там происходит не запрос на изменение пароля, а запрос выполнения команды выдачи "sync console srv eco give ... 100". Сообщение об изменении пароля приходит в ответе(что в консоли, что в панели)

 

и это тоже вызывает много вопросов, потому до этого изложил теорию, а возможно ли исполнить две команды на одну услугу, тогда каким будет лог при покупке товара.
не знаю нюансов трейдмс.
либо спуфят команду при покупке..

 

а этот плагин который command sync не имеет уязвимостей? например в ник для покупки доната написать что-то типа «& sync console srv authme unregister ник админа»?

 

Повторюсь, что я очень далёк от веба, но вот что нарыл через wireshark при повторении покупки.
Возможно вот это число 534156 это id товара и его подменили? Т.е. может быть такое в теории, что у них все товары с разных сайтов в одной базе расположены и получаются по id. Т.е. мог ли взломщик создать свой автодонат, создать товар с командой на изменение пароля от аккаунта админа и при покупке на моём автодонате подменить id товара?

UPD: Да, 534156 - это, похоже, именно id товара, попробовал на другом товаре, оно там другое)

UPD2: Проверил это id, на только что созданном товаре (т.е. новом). Оно там 7xxxxx, т.е. товары, по-видимому, в одной базе лежат и не привязаны "крепко" к конкретному магазину.

 

Обратился, параллельно веду с ними диалог.

 

Проверял историю активность в trademc на своём ааке, никто не заходил кроме меня.

 

В логах сервера вообще нет информации про команду для выдачи валюты. Только для изменения пароля. Т.е. там точно не 2 команды пришло, а только одна.

 

Authme, CommandSync, HolographicDisplay, SimplePortals и ViaVersion

 

Какой-то слишком интерактивный бэкдор). Сейчас буду пробовать все 5 плагинов из байт-кода в java переводить и искать методы, прослушивающие ивент команды от RCON из Spigot-api. Хотя я на 95% уверен, что это не бэкдор в плагинах.

 

Судя по логам, плагин CommandSync вообще не был задействован во время взлома, т.е. команда от trademc вообще не ушла на srv сервер, а выполнилась сразу на хабе.

 

Если товары не привязаны к домену, то да, такое было бы возможно, но по логу видно, что команда приходит та что и должна.

 

Не особо интересный. Другое дело, когда бэкдор дает полный контроль на сервером(особенно если сервер запущен от рута)

 

Советую для начала просто сверить их хэш-суммы с оригинальными плагинами с оф.сайта.

 

Я имел ввиду интерактивный. Т.е. этот бэкдор узнал какому аккаунту поменять пароль, и на какой пароль)

 

Может у них сама команда и то, что отразится в логах расположено в разных полях? Ибо логи хранятся в БД, и это поле надо проверять на SQL инъекцию, а вот команду не надо проверять. Есть такая вероятность?