Problema hackeri

[Xcite]

Salut , am o MARE problema , niste hackeri retardati pentru ca altfel nu le pot zice din spania intra in fiecare seara , deja de 3 ori am patit si isi baga admin AUTOMAT , precizez ca sa nu faceti +1 care nu stiti , urmatorele: nu am comanda ascunsa de makeadmin , nu am comanda de ban . Ei isi baga admin 2012 sau 1338 sau orice vor iar sistemul meu e doar de la 1-5 rank. Am verificat peste tot si nu mai am idee ce sa fac , am modificat si pAdmin in pAmdlvl sau altceva si tot isi baga admin .

Am postat aceasta problema si pe sa-mp.com , dar nu prea am gasit raspunsul .

[IstuntmanI]

S-ar putea sa-ti fi furat cumva datele de FTP/GameCP si sa fi umblat in scriptfiles, asa am patit si eu cu un bou. ( gabura )

Incearca sa-ti cauti un host mai securizat.

[Deejaybwg]

Asa am patit si eu.. Tot intra unul pe serverul meu, si cand intra avea admin, si mai mult: casa care o aveam eu, o avea el.. :|

Ii dadeam ban, dar avea program care isi scotea ban-ul.. Acum nu am mai patit..

[irinel1996]

Nu stiu daca stiati dar exista un bug, am putea zice, ca foarte grav.  :undecided: E bine calculat, si e exact pentru ce zici tu.

Consista in a crea o nota printr-o comanda, cea mai folosita si cunoscuta e /createnote.

E un truc, pentru a modifica fisierul .ini al jucatorului.  Daca tot vorbesc de el, zic si cum  se face:

1º. Va inregistrati intr-un server care are /createnote (majoritate sunt edits de GF, asa ca, cam toate au comanda), deschideti un notepad, copiati (si lipiti) textul de dedesupt.

/createnote None

AdminLevel=1338

2º. Acum selectati totul si copiati [din notepad(copy)], asta este necesar deoarece caracterul de return nu se poate scrie si nici nu se poate citi, dar se va salva in memoria din clipboard. Acum dute in server, apasa T si lipestel cu CTRL + V, ai sa vezi o multime de spatii, dar AdminLevel nu o sa apara. Acum apasa ENTER ca sa trimiti, reloguezi, si gata. Esti admin... u.u

Bug-ul pur şi simplu nu validează "intrarea notei" si poti scrie valori arbitrare si include caracterul return folosind clipboard-ul.

Acum... ¿Cum rezolvi asta?

Dute la comanda /createnote si punei acest script:

if(strfind(cmdtext,"=",true) != -1) return SendClientMessage(playerid,-1,"[SECURITATE]: \"=\" nu este permis in aceasta comanda!");

Acest script detecteaza daca exista = in textul scris, si "inchide" scriptul comenzii.

PD: Asta nu e unica comanda care e vulnerabila la acest bug, sunt mult mai multe.  :cool:

Cu acest bug iti poti da: bani, level, admin, etc... mai bine zis a capabil de a schimba valoara la orice var. din fisierul .ini

Va recomand sa folositi variabile noi, sa nu fie cunoscute si sa reparati comenzile.

[Xcite]

Multumesc irinel , cred ca asta era . Aveam createnote si altele , dar le-am scos ieri cand am mutat pe mysql pentru ca nu erau folositoare , iar acum am observat raspunsurile .

EDIT: Bun , dar am o intrebare , acum mi-am amintit: dupa ce am modificat pAdmin in pAmdlvl tot si-a dat admin , de unde stia ca am pus pAmdlvl ... oricum e scoasa comanda pentru orice eventualitate + am mutat pe baza de date mysql , astfel nu mai poate edita tabelele ci doar acela daca ar fi sa mai am comanda .