CS:GO Satışı yapan firmalar için önemli uyarılar ve dev. notları

Konu

Ok işareti #1
Merhabalarcsgo piyasasına girdiğimizi açıklamıştık ve birçok büyük sunucuda yazılım testi gerçekleştirdik ve sonuçlar gerçekten berbat düzeyde, 2 bug türü denedik ve ikiside aktif olarak çalışan amacı zarar vermek olan insanlar tarafından ciddi zararler verrebilecek açıklar durumundadır.

NOT: Eğer webailesi ekibi sunuculara zarar vermek isteseydi tüm k. bilgileri, panel dosyaları ve tüm gizli tutulan bilgileri kopyalayabilirdi ancak amacımız sunucuları daha güzel hale getirmek ve webailesi.com adresinin 1.6 da olduğu gibi cs:go dada söz sahibi olduğunu kabul etmenizdir. Türkiyede tek eklenti geliştiren platform webailesi.com adresidir diğerlerinin bilgisi editten yukarıya çıkamazdır.

Erişim ve açıklar hakkında detaylı bilgilendirme;

1. Açık( Dosya listeleme );

Sunuculardaki "ReadDirEntry" kodunun açık ve izinlerin tam olmasından kaynaklı sunucudaki verilen dizindeki tüm dosyaları okuma ve listeleme ortaya çıkmakta bu komudu alt yapıdan direkt olarak .smx dahil engellemenizdir.

Mevcut durumda nasıl bir güvenlik yolu geliştirebilirim sorusuna şöyle cevap verebilirim sunucularınızı kurduğunuz dizinlere her sunucu için ayrı bir klasör oluşturun örnek veriyorum sunucu-1 ve bu sunucu altının tüm chmod izinleri en üst düzeyde tutarak sunucuların kurulu olduğu alandaki tüm chmod izinlerini en üstün bi altında tutun ve panel ip ve sunucu ip adresi dışındaki tüm ip adreslerini orada blacklist durumuna getirin.

Ancak bu yol sadece acemi yazılımcıları durduracaktır kod yazmayı bilen birisi sourcemod da olan saçma kod olan dosya ch mod düzenleme koduyla mevcut dizindeki kendi eklentisinin chmod iznini en üst düzeye getirip tekrar root olabilir bu durumda tekrar açık doğmuş olur.

Peki bu durum nasıl engellenir sorusuna cevap olarak verebileceğim konu şudur .smx yükleme izinlerini derhal kapatıp 1.6 sistemindede kullanıldığı gibi kendi compiler sisteminize geçmeniz gerekmekte bunun sonucunda kapalı kaynak kodlu pluginler kapatılması gerekecektir. Bunları göze alıp compiler sisteminden sadece .sp izni verip kendinizin derlemesi gerekmekte ve bu compilerde size vereceğimiz kodları kesinlikle engellemelisiniz. Bu zamana kadar böyle olaylar yaşanmamasının tek nedeni işini bilmeyen csgo plugin geliştiricilerinin olmasından kaynaklıdır bu compiler sistemine geçerek insanlar .inc dosyalarını ticket/destek sistemi üzerinden manuel kontrol yaparak kurulum gerçekleştirip .sp dosyasını kesinlikle derleyeciden geçirtmeniz gerekmektedir. Eğer bu olayı yapmak istemiyorsanızda etc ve ana dc makine dosyalarının barındığı tüm erişimleri dışa kapalı duruma geçirmeniz gerekmektedir ve her makinede 1 server barındırmanız gerekmektedir.

NOT: Kapalı kaynaklı kod asla kullanmayın!

2. Açık( toplu işlemler ve spam );

Sourcemod yapısı daha 1 gündür inceliyoruz ve birçok olmaması gereken kodlar var örnek dosya silme bunu uzun uzun anlatmak yerine yukarıdada anlattığım gibi bunun tek yolu kapalı kaynak ve .inc yüklenme izninin kaldırılarak kendi derleyecelerinizden geçirip sizin .smx çevirip onaylayıp sunucunuza root etmekten geçmektedir.

3. Açık( CH Mod ve dizin yetkilendirme );

Sourcemod yapısında dizinlere yektilendirme ve yetkilerini alma ch mod izinlerini ayarlama kodları mevcut durumda bu kodlar sayesinde siz ne kadar kısıtlarsanız kısıtlayın ancak bir eklenti full yetki iznine sahip edilebilir ve dosyalarınız çalınabilir. Bunun için dediğimiz gibi şuanda cs 1.6 server satıcıların yaptığı gibi derleyeceğinizi yapmanızdan geçmektedir yoksa ne engelleme olursa olsun bu kod sayesinde sunucunuzdaki eklentilere root izni verilebilir ve tüm makine dosyalarınıza erişim yapılabilir.

4. Açık ( Geri gitme );

Sunucular lin. windows tabanlı olduğu için sizin sourcemod dışı tüm komutları kısıtlamanızda hayati önem bulunmaktadır örmek "../" bu komut sayesinde sunucuzda dosya taraması koduyla geri gidip tüm dosyalarınız listenelebilir veyatta içleri okunup istendiği gibi editlenip, silinebilir bunun içinde önerimiz kendi derleyeceğinizden geçmektedir.


Daha birçok hata mevcut durumdadır eğer merak eden sunucular olursa özel mesaj yoluyla iletişim kurabilir veyatta yorum üzerinden destek isteyebilir.


Açığın denendiği ve güvensiz olarak belirlenen firmalar;
  • Oyunyöneticisi [Güvenlik testinden tam puan aldı]
  • [Kaldırıldı] [Sunucusunda herhangi bir koruma bulunmuyor]~[Firmayla iletişim kurulmuştur ancak sunucumuzda herhangi bir bug yok denmiştir, ancak hiçbir koruma bulunmuyor]
  • [Kaldırıldı] [Sunucusunda herhangi bir koruma bulunmuyor]
  • [Kaldırıldı] [Sunucusunda herhangi bir koruma bulunmuyor]~[Firmaya iletişim kurularak buglar bildirilmiştir]
NOT: Bug testi yapılan kullanıcılarda onaylanmak için dosya erişimi yapılmıştır ve root olunmuştur.

Teşekkürler ve iyi forumlar.

Bu testleri yapmamız lütfen yanlış anlaşılmasın hiçbir sunucudan bir veri çalınmamıştır veyatta kopyalanmamıştır ancak dediğimiz gibi türkiyede cs 1.6 ve cs:go platformu üzerinde tek gerçek geliştiriciler ve pluginciler kesinlikle webailesi.com adresidir diğer kişiler ve kuruluşlar edit üzerine çıkamamaktadır.

webailesi.com #WA
Cevapla
#2
Kapalı kaynaklı kod asla kullanmayın!
Bu maddeye değinmek istiyorum. Lütfen ücret ile birinden eklenti alacaksanız kaynak kodu isteyiniz. Sadece .smx dosyası teslim edilecek ise almayınız. Çünkü içine her türlü kod ekleyip işlem yapabilirler. MawiLarq 'ında bahsettiği gibi.
Son Düzenleme: 16-02-2020, 20:35, Düzenleyen: northeaster.
Cevapla
#3
https://github.com/bcserv/mapconfigs/blob/master/addons/sourcemod/scripting/mapconfigs.sp
Bu eklenti sourcemod ün önemli eklentilerinden. 107. satırda ReadDirEntry kullanılmış. Kodun engellenmesinin mantıklı bir çözüm olduğunu düşünmüyorum. Başka çözüm yollari olabilir.
Son Düzenleme: 16-02-2020, 22:57, Düzenleyen: northeaster.
Cevapla
#4
@northeaster Kodun engellemesi mantıklı MawiLarq açıklamayı yapmış zaten fakat ben tekrardan açıklayayım ReadDirEntry fonksiyonu belirlenen dizinde bulunan herhangi bir okunabilir dosyayı okumak en basit örnekle anlatmak gerekirse bazı serverlar yada server sağlayıcı firmalar şu tarz eklentiler kullanabiliyorlar. ( Oyun içi loglama eklentisi gerek chat olsun gerek girilen komutlar vs. ) CS:GO'da discorda loglama tarzı eklentiler var fakat bazı firmaların SQL'e loglama işlemi yaptığını düşünmekteyim bu komutun da bu kadar zararlı olmasının sebebi SQL'e erişim bilgilerinin tutulduğu dosya içeriğine erişip SQL bilgilerini alarak içinden veri silme,güncelleme ve çekme gibi yöntemleri rahatlıkla kullanabilirler.Sadece bu değil servera herhangi bir yapımcıya ait zararlı bir eklenti yüklenirse yapımcısı istediği gibi sizin Adminlik bilgilerinize kayıt loglarınıza vb. bütün sisteminize el uzatabilir.Bunlar basit örnekler bu tarz komutları kullanarak server sağlayıcı firmanın dedicated sunucularına tam erişim bile sağlayabilirsin sadece bu basit kod sayesinde o yüzden engellenmesi şiddet ile önerilir.
Cevapla
#5
Bu fonksiyon kullanılan o kadar çok eklenti var ki. Kodu engellemek büyük bir saçmalık olur. Tekrar soyluyorum. SourceMod ekibi bu kodları düşünmedi mi sanıyorsunuz. Biraz araştırdım 8 senedir bu olay zaten var. Ve illa alternatif çözümler üretenler olmuştur. Ben 2 tane yabancı firmadan sunucu aldığım oldu. Bu mapconfig plugini ikisinde de çalışıyordu. Ikisinde de plugins klasörüne dosya yükleme izni vardi. Öyle düşünürsen extension ile de sunucuya zarar verilecek şeyler yapılabilinir.
Cevapla
#6
(17-02-2020, 12:14)northeaster Adlı Kullanıcıdan Alıntı: Bu fonksiyon kullanılan o kadar çok eklenti var ki. Kodu engellemek büyük bir saçmalık olur. Tekrar soyluyorum. SourceMod ekibi bu kodları düşünmedi mi sanıyorsunuz. Biraz araştırdım 8 senedir bu olay zaten var. Ve illa alternatif çözümler üretenler olmuştur. Ben 2 tane yabancı firmadan sunucu aldığım oldu. Bu mapconfig plugini ikisinde de çalışıyordu. Ikisinde de plugins klasörüne dosya yükleme izni vardi. Öyle düşünürsen extension ile de sunucuya zarar verilecek şeyler yapılabilinir.
CS 1.6'da çok önemli kodlar var setinfo vs. ama sunucular engelliyor yabancı sunucuda görmeme nedenin dc de barındırmaması şuanda piyasadaki firmalar bir makinede onlarca server barındırıyor az maliyet yüksek kaar ama sen bireysel bi sv de olduğun içindir.

Belli kodları valve kendi kullanmak için yapıyor bunların bizlere verilmesi saçma olmuş daha görmediğin nice komutlar var işi bilen birisi bir makineyi kendi makinesi klonlayabilir bile bunları daha yayımlamadık bile.

Bu kodlu pluginler gereksiz kod kullanımı gösteriyor ve gereksiz abartılı izni olan bir kod bu
Cevapla

Bir hesap oluşturun veya yorum yapmak için giriş yapın

Yorum yapmak için üye olmanız gerekiyor

ya da
Task
Kayıt Ol
Discord Adresimize Katılın