[转贴] 《半条命》战网服务器存在消息泄漏和DOS攻击、被下载server.cfG危险
来源:http://www.cnns.net/article/db/3705.htm《半条命》战网服务器存在消息泄漏和DOS攻击 (Other,缺陷)
涉及程序:
VALVE公司所有版本的服务器端程序hlds.exe
描述:
《半条命》战网服务器存在消息泄漏和DOS攻击
详细:
《半条命》是VALVE公司出品的一款游戏,其中闻名世界的反恐精英(Half-Life:Counter Strike) 简称cs,是《半条命》的一个扩充mod包。
在服务器配置里,如果allowdownload = 1,则可以从当前游戏的目录或服务器里的/valve目录里下载任何文件,allowdownload的功能是允许客户端从服务器上下载新的地图。这个漏洞可用来下载包括密码等带有敏感信息的配置文件(比如server.cfg,不同mods的配置文件),另外,下载大的文件(比如地图)可导致服务器的崩溃。
攻击方法:
示例代码:
cmd dlfile server.cfg
cmd dlfile addons/amx/users.ini
cmd dlfile addons/amx/mysql.cfg
cmd dlfile maps/de_torn.bsp
解决方案:
目前厂商未公布该缺陷补丁,请及时关注厂商公告 怕怕~ CS服务器有大bug,任何人都可以随便下载server.cfg(大OP密码一般在这儿),快改这个文件名,
并在服务器启动快捷方式里加+servercfgfile server1111.cfg指定新文件名。。
最好更改OP密码,因为可能你的密码别人已经知道了。。
当然你也可以用 sv_send_resources 0 禁止用户下载任何文件,不过地图就下载不了了,喷图也没有了。。
但是如果不禁止的话,稍微对服务器熟悉的人,就可以下载你CS目录下的所有文件,包括admin和amx里的user.ini ,admin.cfg,statsme.cfg,hlguard.cfg,这个意味着什么,我想大家都明白。 就是呀,怎么办了?? 解决方案:
目前厂商未公布该缺陷补丁,请及时关注厂商公告
前N 天不是有贴说已经补好了吗 更改密码还是没用,把服务器启动快捷方式的参数和服务器启动快捷方式下载过来!呵呵,玩笑!
限制下载最有用! 最初由 sunsy 发表
更改密码还是没用,把服务器启动快捷方式的参数和服务器启动快捷方式下载过来!呵呵,玩笑!
限制下载最有用!
怎么下载?:confused:
好像没办法的嘛 服务器启动快捷方式的参数和服务器启动快捷方式 这两个你还要放在HLSERVER目录下面? unitedadminis的应急方案:
sv_allowdownload 0 等升级.:)
页:
[1]
2