IP's bannen

T

TheNox

New Member
Folgendes Problem, wir haben ein Hacker der jedesmal mit Proxy Servern von hier http://torstatus.blutmagie.de/ auf den Server connected.

Jetzt ist meine Frage wie würde ich am besten alle IP's von dort mit einem Schlag vom Server bannen? Weil klar ich kann nun 2000 Windows Firewall Regel erstellen. Aber da hocke ich sicher Wochen dran.

Könnte da bitte jemand helfen, wäre echt super!!!
 
Natürlich wäre es klüger, nur ist das im Moment für mich nicht möglich aufgrund fehlendem Wissen. Klingt saublöd aber kann ich nicht ändern. Bin nicht allein mit dem Problem sondern einige "Freunde" mit dem gleichen Server haben das Problem auch und wir finden diese Sicherheitslücke nicht.
 
Wäre es nicht klüger, den Server runterzufahren, wenn ihr die Lücke nicht gefixt bekommt? Ich meine ja nur, so von wegen Haftung für alle Folgen des Hacks. Wenn ihr vom derzeitigen Zustand wisst, dann ist das vorsätzliches Handeln.
 
Möglicherweise wäre ein Managed Windows Server sinnvoller?

Aktuell läufst du Gefahr mit einem gehackten Server unbewusst Straftaten zu begehen, daher:

Kiste runterfahren, Image ziehen und untersuchen lassen, danach einen Administrator bezahlen der sich mit Windows Maschinen auch ernsthaft auskennt.
 
Nein ich laufe nicht in die Gefahr Straftaten zu begehen, die Sicherheitslücke ist auf der Anwendung. Der Hacker logt sich als Gameadminstrator ein, bannt alle User die gerade spielen. Das macht er mehrmals täglich.

Ansonsten hatte er auf nichts anderes Zugriff, der Gameport muss aber offen sein, und darüber geht er halt rein.
 
TheNox said:
Ansonsten hatte er auf nichts anderes Zugriff
Click to expand...

Ohne zu wissen, was bei dir läuft: Der Hacker hat zumindest einen eingeschränkten Zugriff auf dein System. Von dort kann er ggfl. unter Ausnutzung anderer Lücken weiteren Unsinn anstellen.
 
Server

Also.

Bisher sind alle ports geschlossen in der firewall, ausser die serverports sind offen + der ftp port (21) [OutBound] & 80 für apache [OutBound & InBound]

Der "Administrator" gibts es mit dem namen auch nicht mehr = Renamed im system & die Admin group renamed.

Firewall ist alles geblockt, Domain,Privat,Public...

Der RDP port ist offen, muss man aber noch richtig configurieren, dass nur 2 IP's die rechte besitzen darauf zu zu greifen.

Das alles hat aber nicht wirklich was mit unserem Problem zu tun...

Der Hacker nüzt legendlich nur "einen" port und zwar der des HauptServer teils.

Irgendwie logt er sich über den ein,bann die spieler die online sind.
Die "banns" sind aber nur im cache server eingetragen , wass heisst, dass wen man den Gameserver restartet ist alles wider normal...

Ich tippe darauf das hat was mit "exploits" in den "bins = server exe" zu tun.
 
Du hast nicht so wirklich Plan, wovon du da gerade redest, oder?

Der "Hacker" hat irgendwie Zugriff auf deine Java-VM. Es ist total egal, ob dafür ein Port benötigt wird oder fünf. Die Firewall hat damit auch nix zu tun. Er kann also schon jetzt alles ausführen, was der Benutzer, unter dem Minecraft ausgeführt wird, auch mit Java in einer VM ausführen könnte. Das ist so ziemlich alles, bis zum Starten einer Remote-Shell. Und Privilege-Escalation, um von einer solchen Remote-Shell zu Admin-Rechten zu gelangen, sind so selten auch nicht.

Ich hab nen "Hacker" im System, kann aber nix passieren? *Kopfschüttel*
 
Wir vermuten das der Hacker ein "*admin tool " benuzt welches für das spiel ist.
Durch das, das er die Bins spirch Server.exe kennt kann er das ausnutzen in weil er ja die lücken kennt und wir nicht.
 
Ich vermute dann mal, dass weder Java noch Windows up-to-date sind und der pöse Bube gleich mehrere Lücken nutzt und sich längst Admin-Rechte im System verschafft hat.
 
You must log in or register to reply here.
Back
Top