Rcon gehackt CFG ausgelesen?

Werte OL Community,

Ich habe in Call of Duty 2 1.2 mehrere Server in Betrieb. Heute musste ich mit Erschrecken feststellen, dass ein Xfire Kontakt mich anschrieb mit den Worten:
"haha i hacked your rcon.. [rcon pass].. no worries i dont give it to anyone haha" ..
Daraufhin hab ich sofort das rcon pass in der server.cfg geändert und die server via webinterface restartet.

Drängt sich mir die Frage auf:
Ich bin als Einziger im Besitz meines Rcon Passworts. Wie kann jemand anders da ran kommen? Gameserver gehackt? server.cfg ausgelesen? Ich bin zwar nur Laie, aber ein Fehler wie zB beim ingame Login in der Konsole das Pass öffentlich zu schreiben ist mir nicht unterlaufen, um das von vornerein auszuschließen.

Nährere Infos zum Server:
- Anbieter ist Privatanbieter, keine Firma, sprich eine einzelne Person mit nem gemieteten Root
- 1.2 Public Server
- KEIN Punkbuster am Laufen
- Rcon Pass bestehend aus Buchstaben (groß-klein) und Zahlen, keine vernünftigen Worte
- FTP Datein scheinen unverändert zu sein

Wie gesagt, das Rcon hab ich sofort geändert, allerdings liegt natürlich die Befürchtung nahe, dass das Pass sehr schnell wieder geknackt wird.

Ich hoffe bei euch Hilfe zu finden. Wie kann ich mich vor soetwas schützen? Opferlamm hilf :/

Erst mal eine frage wer spielt noch 1.2 und kein 1.3? Und wieso kein PB?

Also zu deinem Problem gibt es mehrere Faktoren
1. Es ist wirklich ein Hacker was sehr schwer sein wird das zurückzuverfolgen
2. Ein echt dummer zufall das er drauf gekommen ist. Oder du hast es irgendwo unabsichtlich erwähnt. KOmmt oft vor das manche leute beim Rcon Login sich vertippen sprich ^/rcon login blabla (gemeint ist das ^zeichen davor nch steht) und somit in den Chat gelangt ist und er es sich aufgeschreiben hat.
3. Dieser Xfire Kontakt kennt evtl den Kollegen der dir deine Server vermietet.

Bei unserm CoD2 Server war dies genau so und wurde mehrmals gehacked. Daraufhin haben wir den Server einfach dicht gemacht da von uns keiner mehr CoD2 spielt.
Vor so etwas kann man sich im prinzip nicht richtig schützen auser man hat ein wirklich schwieriges PW als RconPW und am besten den Aktuellsten Patch usw nutzen das seh ich als einzelne lösung

Vorweg schonmal danke für die schnelle Antwort..

Also.. warum 1.2 und kein PB lässt sich leicht erklären..

Mein Clan, für den ich die Server betreibe ist ein CTF Clan. Dass CTF auf 1.3 aber quasi nicht existiert ist dir als Spieler dort bestimmt bekannt. Desweiteren habe ich mir nach schlechten Erfahrungen vorgenommen keine Liga mehr zu spielen, da ich zu viele Clans dort habe kaputt gehen sehen. 1.3 bietet also keine Reize, wobei ich natürlich weiß, dass es für einen guten SD Clan quasi Pflicht wäre hochzupatchen.
Warum kein PB? Traurig aber wahr ist, dass sich CTF in 1.2 am Leben erhält indem die Server nur wenig mit PB laufen. Spieler, die das Spiel neu kaufen und somit auf 1.2 starten haben von der Anticheat Software leider so wenig Ahnung, dass sie zum updaten quasi nicht fähig sind. Ergebnis? Ohne PB ist der Server bis nachts um 2 voll.. mit PB bis um 11... wenn man Glück hat.. In Hinblick auf Cheater lässt sich das dann dementsprechend leider nur mit guten und aktiven Membern regeln.

zu 1. Wenns so ist... dumme Sache.. dafür such ich die Lösung..
zu 2. Ist definitiv nicht der Fall, vor allem da ich genau aus Angst das könnte i-wann passieren, keine Konsole mehr nutze
zu 3. In Anbetracht der Tatsache, das der Typ der mich im Xfire anschrieb meinte "haha got you pass" holländer war.. und mit meinem Kollegen hab ich 5 Minuten später telefoniert, also diese Möglichkeit fällt weg..

Zurück zu erstens... wie ist das möglich, wie kann ich mich schützen?

Tja... wenn ein echter Hacker irgendwo rein will, und er Ahnung hat, kommt er auch rein... da gehts dir nicht anders als grossen Firmen oder den Schweizer Banken

Lass deinem Kumpel mal in den LogFiles kramen, vielleicht findet er ja was?

Aber mal so ein paar Tipps:

- Auf der Firewall des Servers nur Ports öffnen, die auch nötig sind, alle anderen schliessen.
- Öfter mal das Passwort ändern
- Wenigen und ausgesuchten Leuten das PW geben
- Datensicherung deiner Serverfiles (des gesammten Servers) in regelmäßigen Abständen ist Pflicht!

...und hoffen, das sich da wer einen Spaß mit dir erlaubt hat.

Einen grundsätzlichen Schutz gibt es nicht.

Gruß
Deichi

Zitat:

Original von Deichgraf
Tja... wenn ein echter Hacker irgendwo rein will, und er Ahnung hat, kommt er auch rein... da gehts dir nicht anders als grossen Firmen oder den Schweizer Banken

I don't think so.
Ist ja nicht so das da Magie im Spiel ist.
Da halt ich mich lieber an die Fakten, es gelten für alle die selben physikalischen Gesetze, und gerade bei |<r4$$3n hackern ist es mit hoher Wahrscheinlichkeit ein bekannter Exploit. Echte Blackhats verdienen mehr Geld mit dem aufmachen von Botnetzen oder auslesen von WoW Gold Accounts als das sich rcon Passwörter von Gameservern als Ziel lohnen.
Aber auch die Jungs kommen da nicht durch bloßes anbeten rein.

Es gibt bei allen Quake basierten Spielen die Möglichkeit die cfg auszulesen wenn DL auf dem Server on ist. Dazu muss man den Namen der .cfg erraten. Server.cfg?

Ich habe schon auf vielen, vielen Gameservern gesehen das ein www redirekt eingerichtet war und auf der passenden url die cfgs, Logfiles etc lagen. Easy wenn der Webserver selbst eine Index of: erstellt, ansonsten wieder bekannte Pfade raten (/main/console_mp.log, main/Server.cfg [...] )

Kann natürlich auch ein Konfigurationsproblem des root-Servers sein, aber dann liest doch kein Kiddie ein CoD-Rcon Passwort aus, sondern macht irgendwas mit mehr Value.

Wenn sich der Spaßvogel schon zu erkennen gibt, dann lohnt es sich immer zu verhandeln. Der möchte Aufmerksamkeit und Anerkennung, sonst hätte er keinen Kontakt aufgenommen. Also ein paar Ego-Streichelheiten anbieten im Gegenzug für den Angriffsweg. Sowas wie die Nennung in einem Newsbeitrag
"Der famose hacker 1337 R00ler hat uns darüber informiert das es einen fehler in .... gibt" Respekt, du bist so gut.
Muss man dann ja nicht machen, aber als Verhandlungsbasis lohnt sich der Versuch.

Hat er denn überhaupt irgendwas am Server verändert bevor du das PW geändert hast? Es könnte auch sein dass sich da einer bloß wichtig machen wollte und das PW gar nicht besitzt. Einfach mal was behaupten und die Hühner aufscheuchen. Daran könnte mancher richtig Spaß dran haben.

Zitat:

Original von TrainingDay
Spieler, die das Spiel neu kaufen und somit auf 1.2 starten haben von der Anticheat Software leider so wenig Ahnung, dass sie zum updaten quasi nicht fähig sind. Ergebnis? Ohne PB ist der Server bis nachts um 2 voll.. mit PB bis um 11... wenn man Glück hat.. In Hinblick auf Cheater lässt sich das dann dementsprechend leider nur mit guten und aktiven Membern regeln

Ist das in den Läden aktuell erhältliche CoD2 out of the box tatsächlich schon auf v1.2 gepatcht Das ist mir neu.

Du bist dir schon bewusst dass die Server nur deshalb voll sind weil PB deaktiviert ist, nicht weil die Spieler unfähig zu patchen sind... aber wenn du gerne sowas unterstützt und mit derartigem Volk spielen willst, bitte.

Ich jedenfalls habe viel CTF gespielt zu CoD2-Zeiten, und zwar MIT Patch 1.3. Ich habe eigentlich selten Probleme gehabt gute Server zu finden. Nur definieren sich gute Server über ein paar Dinge mehr als nur PB aus/an oder gepatcht/nicht gepatcht.

Aber gut, CoD2 hat ja schon was auf dem Buckel und das kann heute anders sein.

@server.cfg
Danke Kellerkind, du hast mir grad noch ein Argument geliefert warum man seine configs individuell benennen sollte.

man bekommt nur noch die 1.2 version zu kaufen.

was pb angeht, man kann schon ne menge leute vergraulen was aber nicht nur mit den updates zu tun hat sondern auch wie man pb auf den server eingestellt ist. die meisten wollen nur zocken und wissen nichtmal das es config´s gibt. wenn man also den server "streng" einstellt werden manche leute gekickt und wissen nicht was sie ändern müßen damit sie auf dem server bleiben können.

Zu Punkbuster:
clutzi hat das schon ziemlich gut erfasst, die meisten wollen nur zocken.. zudem finden sich gut besuchte server auch ziemlich schnell an der Spitze betreffs Bekanntheitsgrad wieder.. dementsprechend stört es nur bei ClanWars dass PB aus ist.. da man sich aber schon mit vielen Clans kennt, versteht & vertraut macht es dann nichts mehr aus.. ist nur immer ein Akt bis es soweit ist xD

>w@Lly
Ja einer meiner Member, der inkognito auf dem Server spielte informierte mich paralell zu den Ereignissen, dass auf dem Server ein Spieler ist, der via console schreibt & den Movement Speed etc verändert. War also kein reiner Angstmacher. Außerdem hat er mir das Rcon Pass ja auch ins Xfire Chatfenster geschrieben.

>Kellerkind
Denn Namen meiner .cfg hast du übrigens erraten... die redirect Datein liegen allerdings auf einem Pfad der sich von dem Pfad zum main Ordner deutlich unterscheidet.. allowdownload ist auf unserem Server zwar enabled aber wir haben keine downloads drauf.. nur ein oder zwei maps die allerdings nicht automatisch beim connecten zum server geladen werden sondern erst beim laden der maps selber (und sie befinden sich nicht in der rotation).
Konsequenz für mich auf jeden Fall server.cfg renamen.. muss nur mal schaun inwieweit der GameServer die dann anerkennt..

Kann mir aber nur schwer vorstellen, dass das reicht um die Sicherheitslücke zu schließen.. wenn der Gameserver die .cfg abruft, dann kann ich mir vorstellen, dass ein Hacker die Möglichkeit hat eben die datein zu sehen, die vom Server abgerufen werden..
In der Konsole stehen doch Millionen geladener Datein wenn man den Ingamelog öffnet.. ich kann nicht lesen was da steht, dort mangelts mir an Bildung.. aber wer was damit anfangen kann? Könnten diese Datein zB Kommunikationspfade zwischen Server und Client sein?

Zitat:

Original von TrainingDay

Konsequenz für mich auf jeden Fall server.cfg renamen.. muss nur mal schaun inwieweit der GameServer die dann anerkennt..

Wenn Du den Namen der server.cfg änderst, musst Du das auch im Startparameter ändern, schon erkennt der Server die umbenannte cfg.

Zitat:

Original von TrainingDay

In der Konsole stehen doch Millionen geladener Datein wenn man den Ingamelog öffnet.. ich kann nicht lesen was da steht, dort mangelts mir an Bildung.. aber wer was damit anfangen kann? Könnten diese Datein zB Kommunikationspfade zwischen Server und Client sein?

Keine Angst, mit den Meldungen kann man nichts anfangen.

ToM

Zitat:

Original von MAnsTar
Erst mal eine frage wer spielt noch 1.2 und kein 1.3? Und wieso kein PB?

Also zu deinem Problem gibt es mehrere Faktoren
1. Es ist wirklich ein Hacker was sehr schwer sein wird das zurückzuverfolgen
2. Ein echt dummer zufall das er drauf gekommen ist. Oder du hast es irgendwo unabsichtlich erwähnt. KOmmt oft vor das manche leute beim Rcon Login sich vertippen sprich ^/rcon login blabla (gemeint ist das ^zeichen davor nch steht) und somit in den Chat gelangt ist und er es sich aufgeschreiben hat.
3. Dieser Xfire Kontakt kennt evtl den Kollegen der dir deine Server vermietet.

Bei unserm CoD2 Server war dies genau so und wurde mehrmals gehacked. Daraufhin haben wir den Server einfach dicht gemacht da von uns keiner mehr CoD2 spielt.
Vor so etwas kann man sich im prinzip nicht richtig schützen auser man hat ein wirklich schwieriges PW als RconPW und am besten den Aktuellsten Patch usw nutzen das seh ich als einzelne lösung

ich sag mal so, die aussage ist falsch!
Denn wenn man eine logfile anlegt kann man den hacker so gut wie immer dort nachvollziehen und man bekommt dort locker seine IP heraus, in der firewall des servers diese IP blocken und schon kann dieser benutzer dich nich mehr blocken

@ Kellerkind - Wir haben alle mal klein Angefangen. Nur das wohl ein Hacker wohl eher interesse hat zu sehen ob er reinkommt, nicht das er damit prallen will oder gar Schaden anrichten.

Ich tippe wie du sagtest oder angedeutet hast, auf ein Script Kiddie das wohl einen bekannten Zugang gewählt hat. Btw. Wer die passenden Foren kennt kommt recht schnell auf einen CoD Server, egal auf welcher Version und unter welchem Root er läuft. Wird übrigends eben wie gesagt gerne häufig von Kiddies verwendet wenn für einen War kein Server zur Verfügung steht. Dein Admin könnte eventuell die Log auslesen. Wenn du einen ungefähren Zeitpunkt kennst, könntest du sogar die IP bestimmen.

Wie es nun rechtlich aussieht weiß ich nicht - Ob sich hier eine Anzeige lohnt sollte jeder selber wissen.

Schützen kann man sich nicht. Geht mir zumindest mit meinen Webprojekten so - mit Gameservern denke ich ist es dasselbe. Lediglich aufmerksam sein, die gängigen Grundlagen zur Server Konfiguration (Root) beachten und regelmäßig das Passwort ändern sind jedoch eine Grundlage um sich lästige Flamer und Pisa Kiddis vom Hals zu halten. Bekanntermaßen haben die Probleme sich zu Konzentrieren und geben dann relativ leicht auf.

@ Typho - könnte bei dynamischer IP schwierig werden ausser du blockt gleich einen ganzen Anbieter. Allerdings dürftest du dann schnell einen leeren Server haben.

@webmastermat

allso klar man kann eine dynamische IP haben, allerdings kannst du auch diese als erstes blocken, der spieler wird bemerken das dies dann nicht mehr klappt, im dümmsten fall, na klar er wird sich einfach eine neue schaffen, aber ob sich dann da noch jemand die mühe gibt ist die frage

Zitat:

Original von TrainingDay
Denn Namen meiner .cfg hast du übrigens erraten... die redirect Datein liegen allerdings auf einem Pfad der sich von dem Pfad zum main Ordner deutlich unterscheidet.. allowdownload ist auf unserem Server zwar enabled aber wir haben keine downloads drauf.. nur ein oder zwei maps die allerdings nicht automatisch beim connecten zum server geladen werden sondern erst beim laden der maps selber (und sie befinden sich nicht in der rotation).

Das wirds dann wohl sein. Es ist egal was im redirekt liegt. Die Datei wird nicht vom redirekt runtergeladen weil es einen Fallbackmechanismus gibt.

DL ist on, ich fordere mit etwas Kreativität die Server.cfg an. Dann bietet mir der Server zwar den redirekt auf den Webspace an, das ist aber freiwillig - ich kann es genausogut über das Gameeigene Protokoll direkt vom Gameserver runterladen.

Man muss aber den Namen erraten weil es auf diesem Weg keine Möglichkeit gibt sich den Inhalt von main anzeigen zu lassen. Also hilft ein kreativer name für die cfg schon ungemein. Ich weiß nicht ob man sich auf dem Weg auch die {bekanntername}.log herunterladen kann - das währe schlecht denn die kann man nicht einfach umbennenen.

ich habe mal probiert die dateiendung zu ändern der config in "test.ff" und habe die in die startparameter auch so eingegeben und das ging auch, damit rechnet kaum jemand das auch das dateiformat nen anderes is wie nur cfg

Ich habs jetzt so gelöst und den Download einfach ausgeschaltet, nur redirect noch an.. in redirect ordner liegt die cfg nicht & damit solltes funktionieren. Den namen ändere ich dennoch.

Danke jedenfalls für die zahlreichen Antworten.