Pagina 1 di 3 123 UltimaUltima
Risultati da 1 a 10 di 22

Discussione: Aiuto!! "Unknown from"

  1. #1
    Junior Member
    Data Registrazione
    Sep 2016
    Località
    Milano
    Messaggi
    24

    Unhappy Aiuto!! "Unknown from"

    Salve, ho in possesso un server teamspeak.. ieri sono entrati delle persone nel mio ts, all'inizio non ho fatto molto caso, perchè ho pensato fossero stati amici di altra gente presente appunto nel ts, solo che ad un certo punto, hanno iniziato a darsi permessi come "Server admin" ed a kickare e bannare tutte le persone all'interno.. ho notato che nella chat generale del ts, i permessi venivano dati da un certo "unknown from IP:PORTA", praticamente nella chat risultava questo: "NOME" was kicked from the server by "unkown from IP:PORTA", "NOME" was added to server group "Server Admin" by "unknown from IP:PORTA".

    Ho da poco aggiunto l'ip che appariva, nella "query_blacklist.txt".. (spero questo migliori le cose)

    Sapete dirmi per favore come mai sono riusciti a fare una cosa simile? ho qualche permesso settato male?

    Ah.. dimenticavo, ho anche già cambiato più di una volta la password di accesso al query.
    AIUTO PER FAVORE!!
    Grazie, attendo risposte.
    Salve

  2. #2
    Fondatore L'avatar di Kaos
    Data Registrazione
    Sep 2011
    Località
    Verona - Italy
    Messaggi
    2,846
    Ciao,
    quel caso si verifica quando l'azione è intrapresa tramite (admin) server query, è probabile che abbiano fatto privilege escalation, controlla inoltre che non ci siano altri utenti oltre al "serveradmin" del quale solo te conosci la password (usane di generate random).
    Curiosità, che versione del server hai attualmente installata?
    Kaos

  3. #3
    Junior Member
    Data Registrazione
    Sep 2016
    Località
    Milano
    Messaggi
    24
    Citazione Originariamente Scritto da Kaos Visualizza Messaggio
    Ciao,
    quel caso si verifica quando l'azione è intrapresa tramite (admin) server query, è probabile che abbiano fatto privilege escalation, controlla inoltre che non ci siano altri utenti oltre al "serveradmin" del quale solo te conosci la password (usane di generate random).
    Curiosità, che versione del server hai attualmente installata?
    Kaos
    Salve, grazie per la risposta.
    Attualmente nel mio server è installata la versione 3.0.13.3 su Linux.
    Quindi, scusi la mia ignoranza, se è possibile risolvere, sa dirmi cosa potrei fare?
    Grazie mille.

  4. #4
    Fondatore L'avatar di Kaos
    Data Registrazione
    Sep 2011
    Località
    Verona - Italy
    Messaggi
    2,846
    Per prima cosa controlla quanti utenti hanno il gruppo "Admin Server Query".

  5. #5
    Junior Member
    Data Registrazione
    Sep 2016
    Località
    Milano
    Messaggi
    24
    Citazione Originariamente Scritto da Kaos Visualizza Messaggio
    Per prima cosa controlla quanti utenti hanno il gruppo "Admin Server Query".
    Ok, allora.. ho controllato tramite "yatqa" e risulta ci sia solo il mio ip con questo server group. Però ho notato che oltre al "Admin server query", ci sta anche "Guest server query" presumo sia normale, ma preferisco dirglielo (non si sa mai).
    Fino a qui tutto a posto, se vuole anche degli screen per essere più sicuro, glie li faccio senza nessun problema.
    Ultima modifica di Gioele; 09-09-2016 alle 06:25 PM

  6. #6
    Fondatore L'avatar di Kaos
    Data Registrazione
    Sep 2011
    Località
    Verona - Italy
    Messaggi
    2,846
    Il guest server query è normale che ci sia.
    In "Gestione Server Virtuale" abilita la raccolta log per tutte le voci, questo potrebbe aiutare in futuro. Carica su un sito di filesharing (mediafire, mega, dropbox, ecc.) la cartella compressa dei log del server e incolla qua (o a me via MP) il link di download.
    Di tutti i gruppi server e canale controlla che i permessi i_group_member_add_power e i_group_needed_member_add_power non permettano di scalare i gruppi. Per quanto sembrerebbe proprio che da come l'hai descritto sia stato usato l'admin server query e niente di più.

  7. #7
    Junior Member
    Data Registrazione
    Sep 2016
    Località
    Milano
    Messaggi
    24
    Citazione Originariamente Scritto da Kaos Visualizza Messaggio
    Il guest server query è normale che ci sia.
    In "Gestione Server Virtuale" abilita la raccolta log per tutte le voci, questo potrebbe aiutare in futuro. Carica su un sito di filesharing (mediafire, mega, dropbox, ecc.) la cartella compressa dei log del server e incolla qua (o a me via MP) il link di download.
    Di tutti i gruppi server e canale controlla che i permessi i_group_member_add_power e i_group_needed_member_add_power non permettano di scalare i gruppi. Per quanto sembrerebbe proprio che da come l'hai descritto sia stato usato l'admin server query e niente di più.

    Ok, allora ho svolto tutti i passaggi dei permessi che mi ha detto di fare, gli avevo attivi su quasi tutti i "group" che ho nel server.. Solo una piccola informazione, posso levare anche i "i_group_member_remove_power e i_group_needed_member_remove_power"? Ho solo un problema con i logs, cioè che quando mi hanno hackerato il server, io ho dovuto per forza resettare tramite "yatqa" con un backup, il server, perchè questi avevano modificato anche tutti i settaggi e avevano postato da tutte le parti l'IP del loro ts, quindi ho preferito formattare il tutto.. Perciò i logs ora sono completamente nuovi. Nel log che finisce con lo "0", continua ad uscire un'errore "Error opening file: No such file or directory", quindi mi dispiace se c'è casino. Poi se vede un'accesso tramite serveradmin con l'ip "95.232.137.234" sono io.

    Questo è l'ip dei logs: http://www.mediafire.com/download/ww...+TEAMSPEAK.rar

    Grazie.

    AGGIORNAMENTO ore 1:10 del 11/09/2016
    Siccome io adesso entro nel mio server sempre con il "Show ServerQuery Clients", ho notato che sempre queste persone hanno appena fatto l'accesso al mio ts.. Nella stanza WELCOME c'era un "Unkown from IP:PORTA" ci ho cliccato sopra immediatamente e come descrizione c'era scritto "ServerQuery".. Però è rimasto dentro circa 20 secondi senza fare niente, probabilmente hanno tentato di darsi i permessi, ma presumo che grazie hai settaggi che mi ha dato lei, non sono riusciti (almeno spero sia così), ho controllato anche nei group "Admin Server Query, Server admin" e tutti gli altri tramite "yatqa" ma non ho rilevato niente con l'ip di questo ServerQuery. Ovviamente ho anche controllato nei "logs", ma non c'era nessuna scritta a riguardo di questo fatto.
    L'ho inserito direttamente l'ip che ho visualizzato nella chat generale del server, nella "query_ip_blacklist.txt" per sicurezza.
    Ultima modifica di Gioele; 11-09-2016 alle 01:34 AM

  8. #8
    Fondatore L'avatar di Kaos
    Data Registrazione
    Sep 2011
    Località
    Verona - Italy
    Messaggi
    2,846
    Vedendo che stai rimuovendo tutti i needed mi sa che ti mancano proprio le basi...
    Dai log hai rimosso i_client_needed_kick_from_server_power, perchè? Vuoi essere sicuro che i gruppi dove l'hai rimosso possano essere kickati da chiunque?
    Anche in caso di ban viene controllato che i_client_ban_power sia > di i_client_needed_ban_power, rimuovendo il secondo qualsiasi i_client_ban_power (basta 1) sarà sempre maggiore e il ban sarà effettuato.

    Alcuni serverquery potrebbero essere guest derivanti dai servizi di viewer come ts3index.com o tsviewer.com, non sono dannosi.

  9. #9
    Junior Member
    Data Registrazione
    Sep 2016
    Località
    Milano
    Messaggi
    24
    Citazione Originariamente Scritto da Kaos Visualizza Messaggio
    Vedendo che stai rimuovendo tutti i needed mi sa che ti mancano proprio le basi...
    Dai log hai rimosso i_client_needed_kick_from_server_power, perchè? Vuoi essere sicuro che i gruppi dove l'hai rimosso possano essere kickati da chiunque?
    Anche in caso di ban viene controllato che i_client_ban_power sia > di i_client_needed_ban_power, rimuovendo il secondo qualsiasi i_client_ban_power (basta 1) sarà sempre maggiore e il ban sarà effettuato.

    Alcuni serverquery potrebbero essere guest derivanti dai servizi di viewer come ts3index.com o tsviewer.com, non sono dannosi.
    Ah, eh si.. ho seguito una guida su internet per risolvere appunto questi kick e ban che facevano questi soggetti "i_client_needed_kick_from_server_power e i_client_needed_ban_power", ma evidentemente ho fatto solo un casino.. comunque ho rimesso com'erano prima i permessi. Grazie per avermelo fatto notare
    Comunque per il serverquery il server ce l'ho solo collegato a ts3index.com, difatti quando sono in ts, vedo sempre un "unknown from" che entra per mezzo secondo e poi si disconnette, ma almeno so che è lui.. Ieri, prima che entrasse quel serverquery, era entrato una delle persone che aveva hackerato il server che successivamente quando è uscito si è connesso il "serverquery".. probabilmente da come ha detto lei, puoi essere qualche sito, ma nessun serverquery è rimasto collegato per più di 2 secondi nel server, la bandiera della nazionalità era identica alla nazionalità di quella persona cioè "Finlandia" e poi l'ip del query era nettamente diverso da quello che entra di solito (quasi ogni 5 minuti).. Ovviamente se sbaglio (quasi sicuramente) me lo dica senza nessun problema, fin che ho la possibilità di imparare da uno più esperto =).

    Ho solo una domanda da farle:
    Adesso che giustamente mi ha segnalato questa cosa dei "Needed" che ho risistemato subito (piccolo avviso: quando quelle persone erano entrare a kickare e bannare la gente, i permessi "needed" erano settati giustamente.. Solo dopo che ho provato a sistemare questa cosa ho combinato un casino), ci sarebbero altre cose per risolvere tutto questo? o era solo un problema di settaggi?
    Ultima modifica di Gioele; 11-09-2016 alle 11:21 PM

  10. #10
    Fondatore L'avatar di Kaos
    Data Registrazione
    Sep 2011
    Località
    Verona - Italy
    Messaggi
    2,846
    Quello dei needed è una delle possibili cause dalle quali può derivare un attacco di questo tipo.
    Attenzione al fatto che se vedi scritto "issued: login with account "serveradmin"(serveradmin)" (sempre dai log) vuol dire che è stato effettuato il login con successo, quindi con una password corretta, se l'ip non è il tuo allora c'è sempre qualcuno con gli accessi amministrativi. Bannare gli ip malevoli inoltre non è per niente una soluzione, cambiare ip è la cosa più facile di questo mondo.

Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Disattivato
  • Il codice HTML è Disattivato