Reclamă abuzivă pe serverele de Counter Strike de la aznet

Posted

Pe data de 25 martie am fost anunțați de mai mulți clienți că pe serverele lor se face reclamă, intra un jucător la ei pe server și face reclamă in chat după care iese de pe server, toate acestea se petrec in mai puțin de o secundă iar atunci când incearcă să vadă cu ce adresă ip s-a conectat jucătorul pentru a-l bana, nu le apare adresa ip in consolă, nici cu amx_last.

Reclama din chat arăta ceva de genul:

*DEAD* m6VPZ : ~~~Hai`pe`[z/p/ . a/z/n/e/t . r/o]~~Te`Astepta-m~Cu~[ZOMBIE-PLAGUE+XP]~~~”

iar in consolă apărea mesajul:

SV_ReadClientMessage: unknown command char (26) Dropped m6VPZ from server Reason: Bad command character in client command

alte exemple:

*SPEC* 3uCPv : ~~~Hai`pe`[z/p/ . a/z/n/e/t . r/o]~~Te`Astepta-m~Cu~[ZOMBIE-PLAGUE+XP]~~~”
SV_ReadClientMessage: unknown command char (26) Dropped 3uCPv from server Reason: Bad command character in client command

*DEAD* BqcJa : ~~~Hai`pe`[z/p/ . a/z/n/e/t . r/o]~~Te`Astepta-m~Cu~[ZOMBIE-PLAGUE+XP]~~~”
SV_ReadClientMessage: unknown command char (26) Dropped BqcJa from server Reason: Bad command character in client command

Am găsit pachetele care au fost trimise pentru a afișa acea reclamă in chat incluzând ip-ul sursă al atacatorului:

aznet

Am analizat tot traficul adresei ip 84.232.253.45 (reverse dns: 45-253-232-84.static.pitesti.rdsnet.ro) către serverele noastre ca să aflam că nu a incercat să facă reclamă abuzivă doar pe un server ci pe un număr mult mai mare, drept urmare am luat decizia ca să filtrăm această adresă ip pe toate serverele noastre.

Am găsit și o solutie de a preveni astfel de reclame pe serverele găzduite de noi pe care am și aplicat-o.

Azi, a apărut o nouă problemă, din coincidență atacatorul are și un server găzduit la noi prin intermediul unui reseller, el dorește să ii scoatem adresa ip din firewall pentru că nu a fost inteționat să facă reclamă pe serverele noastre, el a cumpărat un program care face reclamă pe serverele care sunt listate pe gametracker prin care și unele găzduite de noi, a recunoscut că a făcut reclamă pe un număr de peste 3000 de servere și nu a realizat că o să fie și unele găzduite de noi, ne-a promis și că ne scoate serverele găzduite de noi in viitor când mai face reclamă doar să ii scoate adresa ip din firewall.

Din respect pentru clienții noștii, noi considerăm că nu putem găzdui servere care să fie folosite pe post de „cobai” pe care să iși testeze exploiturile sau programele diverși indivizi, să le filtram atacurile și să ii considerăm curați doar că ne promit că nu ne mai folosesc pe serverele noastre, dar pe altele da. Astfel că am hotărât de comun acord cu atacatorul că dacă el suportă pagubele produse serverelor și se ințelege cu ownerii serverelor afectate și ii poate despăgubi, noi ii putem scoate adresa ip din firewall.

Pe următoarele adrese ip(servere) S-A făcut reclamă, să nu existe dubii, pentru toate adresele listate mai jos există loguri doveditoare că s-a făcut reclamă in chat:

109.163.232.23
18:39:13.939139 IP 84.232.253.45.54522 > 109.163.232.23.27015: UDP, length 25
18:39:15.100639 IP 84.232.253.45.54546 > 109.163.232.23.27015: UDP, length 25
18:39:16.369357 IP 84.232.253.45.54574 > 109.163.232.23.27015: UDP, length 25
18:39:16.518173 IP 84.232.253.45.54579 > 109.163.232.23.27015: UDP, length 25
18:39:21.806676 IP 84.232.253.45.54687 > 109.163.232.23.27015: UDP, length 25

109.163.232.29
18:38:51.984977 IP 84.232.253.45.53956 > 109.163.232.29.27015: UDP, length 25
18:38:53.116793 IP 84.232.253.45.53990 > 109.163.232.29.27015: UDP, length 25
18:38:55.068918 IP 84.232.253.45.54060 > 109.163.232.29.27015: UDP, length 25
18:38:56.307995 IP 84.232.253.45.54102 > 109.163.232.29.27015: UDP, length 25
18:39:00.021556 IP 84.232.253.45.54227 > 109.163.232.29.27015: UDP, length 25

109.163.232.31
18:38:31.850818 IP 84.232.253.45.53457 > 109.163.232.31.27015: UDP, length 25
18:38:33.101416 IP 84.232.253.45.53483 > 109.163.232.31.27015: UDP, length 25
18:38:35.526915 IP 84.232.253.45.53532 > 109.163.232.31.27015: UDP, length 25
18:38:35.563073 IP 84.232.253.45.53535 > 109.163.232.31.27015: UDP, length 25
18:38:39.359793 IP 84.232.253.45.53606 > 109.163.232.31.27015: UDP, length 25

109.163.232.42
18:39:09.322897 IP 84.232.253.45.53127 > 109.163.232.42.27015: UDP, length 25
18:39:10.582474 IP 84.232.253.45.53145 > 109.163.232.42.27015: UDP, length 25
18:39:11.918371 IP 84.232.253.45.53172 > 109.163.232.42.27015: UDP, length 25
18:39:13.561094 IP 84.232.253.45.53199 > 109.163.232.42.27015: UDP, length 25
18:39:16.099336 IP 84.232.253.45.53257 > 109.163.232.42.27015: UDP, length 25

109.163.232.47
18:39:24.342864 IP 84.232.253.45.53442 > 109.163.232.47.27015: UDP, length 25
18:39:25.593570 IP 84.232.253.45.53463 > 109.163.232.47.27015: UDP, length 25
18:39:28.017574 IP 84.232.253.45.53508 > 109.163.232.47.27015: UDP, length 25
18:39:28.056581 IP 84.232.253.45.53509 > 109.163.232.47.27015: UDP, length 25
18:39:39.601524 IP 84.232.253.45.53774 > 109.163.232.47.27015: UDP, length 25

109.163.232.83
18:39:11.818199 IP 84.232.253.45.53171 > 109.163.232.83.27015: UDP, length 25
18:39:13.052857 IP 84.232.253.45.53192 > 109.163.232.83.27015: UDP, length 25
18:39:14.357649 IP 84.232.253.45.53218 > 109.163.232.83.27015: UDP, length 25
18:39:16.024609 IP 84.232.253.45.53252 > 109.163.232.83.27015: UDP, length 25
18:39:18.570232 IP 84.232.253.45.53320 > 109.163.232.83.27015: UDP, length 25

109.163.232.88
18:38:48.977802 IP 84.232.253.45.52788 > 109.163.232.88.27015: UDP, length 25
18:38:49.727593 IP 84.232.253.45.52801 > 109.163.232.88.27015: UDP, length 25
18:38:51.434638 IP 84.232.253.45.52821 > 109.163.232.88.27015: UDP, length 25
18:38:51.626765 IP 84.232.253.45.52824 > 109.163.232.88.27015: UDP, length 25
18:38:52.009391 IP 84.232.253.45.52832 > 109.163.232.88.27015: UDP, length 25

109.163.232.91
18:40:13.340501 IP 84.232.253.45.54646 > 109.163.232.91.27015: UDP, length 25
18:40:14.248852 IP 84.232.253.45.54661 > 109.163.232.91.27015: UDP, length 25
18:40:15.512390 IP 84.232.253.45.54698 > 109.163.232.91.27015: UDP, length 25
18:40:15.678764 IP 84.232.253.45.54702 > 109.163.232.91.27015: UDP, length 25
18:40:20.945441 IP 84.232.253.45.54813 > 109.163.232.91.27015: UDP, length 25

In realitate s-a făcut reclamă pe mult mai multe servere dar nu avem dovezi pentru acestea și nu se pot cere despăgubiri.

Conversația pe care am avut-o cu atacatorul:

(01:56:28 PM) *dRaGoSh *vL: salut
(01:56:33 PM) servere.dreamserver: salut
(01:56:35 PM) *dRaGoSh *vL: salut
(01:56:43 PM) *dRaGoSh *vL: am si eu o problema cu site de la gamepanel
(01:56:48 PM) *dRaGoSh *vL: nu merge
(01:56:53 PM) *dRaGoSh *vL: si nici sa ma conectez prin filezilla
(01:57:02 PM) servere.dreamserver: e de la tine
(01:57:10 PM) *dRaGoSh *vL: pai da , dar nush de la ce 😐
(01:57:19 PM) servere.dreamserver: ce ip ai?
(01:57:26 PM) *dRaGoSh *vL: la pc sau la sv ?
(01:57:30 PM) servere.dreamserver: pc
(01:57:48 PM) *dRaGoSh *vL: 84.232.253.45
(01:58:10 PM) servere.dreamserver: aha
(01:58:17 PM) *dRaGoSh *vL: ?
(01:58:27 PM) servere.dreamserver: ai primit banip
(01:58:37 PM) *dRaGoSh *vL: de la cine ? 😐
(01:58:45 PM) servere.dreamserver: de la noi
(01:58:50 PM) *dRaGoSh *vL: de ce ? 😐
(01:58:56 PM) servere.dreamserver: trebuie sa stii mai bine
(01:59:11 PM) *dRaGoSh *vL: pai nu inteleg ?
(01:59:37 PM) servere.dreamserver: 2 secunde
(01:59:41 PM) *dRaGoSh *vL: ok
(02:01:25 PM) servere.dreamserver: http://i.imagebanana.com/img/x2j4ebms/Workspace1_003.png
(02:01:32 PM) servere.dreamserver: am facut si o reclamatie la isp pentru asta
(02:02:48 PM) *dRaGoSh *vL: e de la un program asta
(02:03:15 PM) servere.dreamserver: da am analizat traficul am vazut reclama catre aznet pe serverele gazduite de noi
(02:03:53 PM) servere.dreamserver: faci reclama catre alte servere e treaba ta
(02:03:55 PM) servere.dreamserver: da nu catre noi
(02:04:11 PM) *dRaGoSh *vL: pai nu am stiu care sunt serverele gazduite la dreamserver
(02:04:41 PM) servere.dreamserver: nici noi nu am stiut cine esti tu
(02:05:10 PM) *dRaGoSh *vL: pai si cum facem in legatura cu serverul ?
(02:05:20 PM) servere.dreamserver: serverul merge
(02:05:38 PM) *dRaGoSh *vL: am inteles
(02:05:45 PM) *dRaGoSh *vL: dar nu pot eu sa lucrez la addons
(02:06:14 PM) servere.dreamserver: am inteles faci o cerere in scris ca suporti daunele create si noi te debanam
(02:06:23 PM) servere.dreamserver: vorbim cu clientii sa vedem ce daune cer pentru problemele create
(02:06:32 PM) *dRaGoSh *vL: si daunele in ce consta ?
(02:06:50 PM) servere.dreamserver: reclama la ei pe servere
(02:07:04 PM) servere.dreamserver: imagina lor si a nostra
(02:07:29 PM) *dRaGoSh *vL: nu ma refer in ce consta daunele ce trebuie sa fac …
(02:07:55 PM) servere.dreamserver: sa platesti daunele produse la ei pe servere
(02:08:00 PM) servere.dreamserver: cat o sa imi spuna ei
(02:08:58 PM) *dRaGoSh *vL: sa platesc 😐
(02:09:02 PM) *dRaGoSh *vL: crezi ca sunt milionar
(02:09:10 PM) *dRaGoSh *vL: sa dau bani pt sv lor
(02:09:18 PM) servere.dreamserver: nu trebuia sa iti bati joc de serverele lor
(02:09:23 PM) *dRaGoSh *vL: dar nu am stiu
(02:09:25 PM) *dRaGoSh *vL: credema si pe mine
(02:09:34 PM) servere.dreamserver: nici noi nu am stiut ca este ip ul tau
(02:09:35 PM) *dRaGoSh *vL: am trimis la 3000 de servere
(02:09:39 PM) *dRaGoSh *vL: si nu am stiu care sunt ale voastre
(02:09:46 PM) *dRaGoSh *vL: eu nu am intrat pe sv sa fak personal la fiecare in parte
(02:09:50 PM) *dRaGoSh *vL: e un program…
(02:10:09 PM) *dRaGoSh *vL: si a selectat toate serverele din gametracker
(02:10:11 PM) *dRaGoSh *vL: si nu am stiu
(02:10:15 PM) *dRaGoSh *vL: sincer vorbesc acuma !
(02:10:43 PM) servere.dreamserver: am inteles
(02:10:59 PM) servere.dreamserver: dar ar trebui sa te gandesti la ce se intampla daca afla cei 3000 owneri de servere
(02:11:07 PM) servere.dreamserver: ca tu esti cel care le face reclama pe servere
(02:11:18 PM) *dRaGoSh *vL: acum stiu si imi pare rau
(02:11:23 PM) *dRaGoSh *vL: in viitor
(02:11:29 PM) *dRaGoSh *vL: o sa selectez toate serverele voastre
(02:11:33 PM) *dRaGoSh *vL: si o sa fie eliminate
(02:11:40 PM) *dRaGoSh *vL: eu am platit pentru programu asta 50 de euro
(02:11:44 PM) *dRaGoSh *vL: si nu pot arunca asa cu banii….
(02:11:47 PM) servere.dreamserver: oricum nu ne mai afecteaza acel tip de atac
(02:12:17 PM) *dRaGoSh *vL: am inteles
(02:12:36 PM) *dRaGoSh *vL: deci imi puteti sa imi scoateti banul sa ma pot ocupa de server ?
(02:12:54 PM) servere.dreamserver: doar dupa ce platesti daunele produse serverelor
(02:13:31 PM) *dRaGoSh *vL: pai si cam cat ar costa pagubele astea ?
(02:13:53 PM) servere.dreamserver: vorbesc cu clientii la care le au fost afectate serverele si iti pot spune
(02:14:02 PM) *dRaGoSh *vL: ok
(02:35:17 PM) *dRaGoSh *vL: nu imi apare nici serverul la favorite
(02:35:25 PM) *dRaGoSh *vL: nici sa scriu in consola sa ma conectez la el nu merge
(02:35:30 PM) *dRaGoSh *vL: asta este tot din cauza aia
(02:35:31 PM) *dRaGoSh *vL: sau ?
(02:35:33 PM) servere.dreamserver: da
(02:35:53 PM) *dRaGoSh *vL: mda
(02:36:06 PM) *dRaGoSh *vL: pai te rog eu sa vorbesti si sa le spui ca imi pare rau ..
(02:36:14 PM) servere.dreamserver: sunt peste 5 servere
(02:36:27 PM) *dRaGoSh *vL: pff sa vorbesti cu ei
(02:36:34 PM) *dRaGoSh *vL: si sa le spui ca imi cer scuze
(02:57:23 PM) servere.dreamserver: nu vrei sa le dau id ul tau si sa discuti cu ei sa va intelegeti?
(03:26:49 PM) *dRaGoSh *vL: ba da
(03:26:57 PM) servere.dreamserver: ok o sa ii anunt
(03:27:01 PM) *dRaGoSh *vL: ok

Dacă ești ownerul unui server care are adresa ip de mai sus, ne poți cere id-ul de messenger pentru a te intelege cu atacatorul și a fi despăgubit, dacă toți ownerii sunt despăgubiți și au ajuns la o intelegere cu atacatorul noi ii putem scoate adresa ip a atacatorului din firewall.

Ce părere aveți, ii lăsăm adresa ip banată sau nu?

Share this page on:Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInPin on Pinterest