1. Рады видеть Вас на русскоязычном форуме TeamSpeak!

    У нас Вы можете скачать последнюю версию:

    Перед регистрацией рекомендуем ознакомиться

    с Правилами форума.

    Присоединяйтесь! Учите и обучайтесь!

    Скрыть объявление
  2. Новая группа "Новичок" на нашем форуме!

    Новые пользователи будут попадать в группу "Новичок".

    Это сделано для того чтобы "Новички" ознакомились с форумом, так как в большинстве случаев проблема с которой вы хотите обратиться уже обсуждалась.

    Перейти в тему обсуждения
    Быстрый переход в группу Пользователь
  3. VPS/VDS и дедикейт сервера в аренду с DDoS защитой

    • Низкий пинг
    • Действующий SLA
    • Рублевые цены без привязки к курсу валют

    Бесплатный тестовый период VPS-OpenVZ

    Попробовать

Сервер требуется помощь - возможно появилась дырка в сервере 3.0.13.4 на Linux

Тема в разделе "Вопросы по TeamSpeak 3", создана пользователем YodaIcon, 2 май 2018.

  1. Yoda

    YodaIcon Премиум Пользователь

    Регистрация:
    26 мар 2016
    Сообщения:
    11
    Симпатии:
    0
    Баллы:
    35
    Добрый день, сегодня утром открыл сервер и обнаружил что кто то "поигрался с сервером" - были удалены все каналы , изменены права групп....

    Вот что я обнаружил в логах клиента и через YATQA
    -
    клиент.jpg
    - в настройках вирт сервера была изменена группа админа канала -
    изменил.jpg
    - логи YATQA
    лог 1.jpg лог 2.jpg лог 3.jpg лог 4.jpg лог 5.jpg
    - а это права которые каким то образом были выданы данному пользователю
    завершающий.jpg
    -информация о пользователе для избежания подобных ситуаций на ваших серверах
    информация о пользователе.jpg
    Global ID -
    aOJauqX36hWfdLfbzmGD2+QJK7k=

    Мое понимание ситуации - "умник" уменьшил необходимый уровень доступа для редактирования серверных настроек до уровня "гость"
    Подскажите каким образом такое возможно ? и как этим бороться...
     
  2. TOP-TS

    TOP-TSIcon Фанат TeamSpeak, хейтер Discord ATHP Премиум Пользователь

    Регистрация:
    15 июн 2015
    Сообщения:
    107
    Симпатии:
    11
    Баллы:
    125
    Привет, как вариант, ему кто-то выдал группу, на которой есть привилегия изменения прав клиента, после чего он изменил свои привилегии клиента.. Без прав на изменение групп сервера/канала невозможно вообще вмешаться в привилегии групп сервера/канала.
    И помните, люди делятся на тех, кто делает бэкапы и тех, кто уже делает бэкапы)
     
  3. Yoda

    YodaIcon Премиум Пользователь

    Регистрация:
    26 мар 2016
    Сообщения:
    11
    Симпатии:
    0
    Баллы:
    35
    дело в том что прочитав ваш форум а именно тему про разграничение прав по иерархии .... я изменил настройки своего сервера таким образом что группы сервера более не задействованы и у всех пользователей кроме ограниченного круга лиц стоит группа - ГОСТЬ... те у кого сервер группа больше этого сделать не могли , я их знаю лично.

    или вы имеете ввиду что при создании канала - человек получил права "Администратора Канала" , и уже от его имени полез в настройки сервера ?? но как админ одной Комнаты может получить права редактировать всего сервера ?
    Да и судя по скриншоту лога клиента - "USer" зашел на сервер , находясь комнате по умолчанию отредактировал Сервер а уже потом начал создавать и удалять комнаты на сервере.... если бы ему кто то выдал какие либо права - это было бы написано
     
  4. TOP-TS

    TOP-TSIcon Фанат TeamSpeak, хейтер Discord ATHP Премиум Пользователь

    Регистрация:
    15 июн 2015
    Сообщения:
    107
    Симпатии:
    11
    Баллы:
    125
    Проверьте все группы: как сервера так и канала и посмотрите какая из них, кроме Server Admin (по дефолту) предоставляет права для изменения сервера, от этого будем отталкиваться.
    Разные сценарии могут быть, поэтому лучше уточнить.
     
  5. Yoda

    YodaIcon Премиум Пользователь

    Регистрация:
    26 мар 2016
    Сообщения:
    11
    Симпатии:
    0
    Баллы:
    35
    спасибо вам за то что заинтересовались моей проблемой. Группы перепроверил , имеются (temp - группы) которые создаются по умолчанию при установке сервера . Server Query , Server Admin ..... а также одна группа созданная вручную - Администратор Сервера .... участники в группах перепроверены... никто нечего не делал , и не доверять их словам нет причин, есть ли какие либо другие способы ?
     
  6. TOP-TS

    TOP-TSIcon Фанат TeamSpeak, хейтер Discord ATHP Премиум Пользователь

    Регистрация:
    15 июн 2015
    Сообщения:
    107
    Симпатии:
    11
    Баллы:
    125
    Если в группы SQ интерфейса не влезали, то вариант с уязвимостью там отпадает сам собой. Без какого-либо пользователя, у которого были требуемые права либо для назначения группы сервера/канала или прав на изменение свойств у него бы не вышло это. Лучше конечно проверить тех самых людей, другие варианты, кроме описанных ваше в 3:45 не могут придти в голову.
     
  7. Yoda

    YodaIcon Премиум Пользователь

    Регистрация:
    26 мар 2016
    Сообщения:
    11
    Симпатии:
    0
    Баллы:
    35
    к Админке Server Query я вообще только один имею доступ. если бы даже ему кто то и выдал - то максимум группу Администратор Сервера , это бы было видно по логам..... это раз , и два - привилегии бы на него распространялись через группу... а не отдельно повеселись на ID клиента.... причем абсолютно все - так что вариант с тем что ему кто то выдал отпадает... как можно получить доступ в SQ ?
     
  8. tvq12

    tvq12 Пользователь

    Регистрация:
    2 дек 2014
    Сообщения:
    273
    Симпатии:
    15
    Баллы:
    160
    Заблокируйте доступ к SQ всем кроме себя и думаю такие проблемы исчезнут.
     
  9. TOP-TS

    TOP-TSIcon Фанат TeamSpeak, хейтер Discord ATHP Премиум Пользователь

    Регистрация:
    15 июн 2015
    Сообщения:
    107
    Симпатии:
    11
    Баллы:
    125
    Если вы не меняли пароль от пользователя админа SQ интерфейса, то это лишь вопрос времени. В несколько потоков и с хорошей базой адресов (тот же ботнет) ваш пароль вскроют довольно быстро, но опять же, чтобы настолько заморочились- вы должны предоставлять какой-то интерес для "трухацкера", но само по себе возможно.
    Чтобы избежать этого:закрыть через фаерволл доступ к порту SQ или поставить свой пароль вручную !чем длиннее, тем лучше KappaPride
     
    Последнее редактирование: 3 май 2018
  10. VJean

    VJean ǝноɯʚıqж Администратор Знаток

    Регистрация:
    26 июл 2014
    Сообщения:
    1.728
    Симпатии:
    383
    Баллы:
    515
    3.0.13.4 - не старовато ли?
     
    • Нравится Нравится x 1
Загрузка...