Помогите Взломали сервер через автодонат.

У них запрос принимает только ID одного товара(не команды) и из этого товара уже извлекает команду, а затем выполняет ее и записывает в лог.

 

Думаю, вопрос примитивных SQL инъекций там проработали, иначе мы бы наблюдали не взлом какого-то игрового сервера, а всей базы trademc.

 

Ну я это и имел ввиду, что у них реально отправленная команда может быть отдельно от той команды, что в логе. Ибо то, что они реально кидают через RCON не надо проверять на инъекции, а вот то, что они в логи пихают - надо.

 

А в логах сервера то что пишет?

 

С этим есть маленькие трудности, ибо плагина не первой свежести)
Но я вот сейчас просмотрел у всех 5 плагинов Java код через jd-gui. Ничего не нашёл. Ни в одном плагине нет прослушки события RemoteServerCommandEvent. Плагин CommandSync чуть внимательнее изучил, ибо ему для доступа к прешедшей команде sync.... не обязательно что-то прослушивать. Там же реализован обработчик данной команды. И в CommandSync ничего странного не заметил. Сверил части кода обработчика команды sync с гитом разраба (но чуть более новой версии), нет отличий.

 

Вот что при должной обработке доната:
На хабе:

На выживании:


Вот что во время взлома:
На хабе:
На выживании:


Т.е. во время взлома на сервер выживания команда не пришла. Она была заменена (где-то, когда-то) на changepass и выполнилась сразу на хабе.

 

Прикольно, посмотрев на checkhost видно, что подключение к ркону именно через trademc, то есть, другие лица мы откидаем. Скорее всего эти "умники" нашли бэкдор в трейдмс. Лучше всего ждать ответа от поддержки. На будущее посоветую: сделай белый список команд, которые можно использовать через ркон, это явно повысит безопасность.

 

Самому аж интересно стало, что они там придумали и как так провернули... Буду ждать новостей)

 

Интересная ситуация, конечно.
В ЛК трейдмц других входов нет, при этом операция выполнена якобы с трейдмц.
В таком случае вижу единственный вариант - создали отдельный магазин с собственным товаром.
Ответ на оригинальный ЛК может приходить чисто по техническим причинам.
Но тогда встаёт вопрос - каким образом узнали пароль от ркон?
ТС, ты пароль менял после первого взлома? Т.е. пароль ркона узнали два раза подряд?
В этом случае уже попахивает бекдором в плагине, как ни крути.
Проверять вручную - себя не уважать, лучше в автоматическом режиме отслеживать все сетевые подключения

 

Конечно!

Знали ли они пароль во второй раз - ответить не могу.

Можно чуть подробнее?

 

В запросе видно, что используется ID магазина и ID товара. ID товара трейдмс может использовать для получения команды, а ID магазина для получения данных от rcon. По этому при подделке ID товара, ID магазина не изменится и команда будет выполнена даже если пароль от rcon'a будет изменен. Т.е. им не нужно вообще знать пароль.

 

В логах покупки в поле источник покупки стоит именно мой домен.

 

Отправь, пожалуйста, эти файлы.
Это все плагины, которые установлены в хабе или есть какие-то другие?

 

Чуть позже скину, сейчас нет возможности.

Это все плагины, других нет.

Вот я сделал выдержки из логов во время взлома. Т.е. убрал сообщения типа "[INFO] [/80.87.193.100:51236] <-> InitialHandler has pinged" и т.п. Тут логи с bungeecord, хаба и выживания.

 

А может ТС подхватил какой-то вирус на свой ПК? Эти "хакеры" украли куки с браузера и зашли в панель TradeMC и выполнили нужную команду... Или прямо с его ПК выполнили команду... Это конечно маловероятный вариант, но исключать его не нужно.

 

Ну у меня работает Касперский) Также я не качал ничего пиратского последний год, наверное. Ну и для майнкрафт хакеров это уж как-то слишком. Да и если бы они украли мои куки, то я бы сейчас не только с майнкрафт сервером разбирался)

 

Если бы они у товара поменяли команду, купли товар, вернули старую команду, то в логах покупки бы отобразилась та команда, на которую они заменили.