2007 körül üzemeltettem anno ilyen szervert, azóta eltelt "pár" év. 🙁
Nem emlékszem már a COD2 log-jára, de ennek mintájára szerintem tudsz írni hasonlót:

filter.d

# Fail2Ban filter for failure attempts in Counter Strike-1.6
[Definition]
failregex = ^: Bad Rcon: "rcon \d+ "\S+"  sv_contact ".*?"" from "<HOST>:\d+"$
ignoreregex =
datepattern = ^L %%d/%%m/%%Y - %%H:%%M:%%S

jail.conf:

[counter-strike]
logpath = /opt/cstrike/logs/L[0-9]*.log
tcpport = 27030,27031,27032,27033,27034,27035,27036,27037,27038,27039
udpport = 1200,27000,27001,27002,27003,27004,27005,27006,27007,27008,27009,27010,27011,27012,27013,27014,27015
action_  = %(default/action_)s[name=%(__name__)s-tcp, port="%(tcpport)s", protocol="tcp"]
           %(default/action_)s[name=%(__name__)s-udp, port="%(udpport)s", protocol="udp"]
  • klt kedveli ezt.

Az a baj a mai csalók az rcon felé adnak le 10.000 parancsot és a cod2 csak 10-et bír el. Így az igazi admin nem is tud belépni.
És a poén,hogy kértem olyan szerverről logot ami alapján egy minta alapján eltudnám készíteni talán az orvosságot,de nem érdekük inkább a hírnév..

Most tapogatózok a sötétben...

Az az érdekes,hogy ha nem jelentkezek be rconba ne logolja a parancsokat amiket kiadok..

Rcon from 192.168.9.64:28960:
pb_sv_plist

Ezt is csak akkor logolja ha be vagyok lépve...

Tehát kapsz egy finom DoS támadást az Rcon-ra. Ezt nem tudod kivédeni a COD2 szerver log-jára fail2ban-t eresztve, mivel nem is készül róla log bejegyzés.

Luigi Auriemma készített erre egy patch-et, itt találod:
https://aluigi.altervista.org/patches/q3rconz.lpatch

Én a helyedben tennék elé egy proxy szervert, vagy tcpdump-al elemezném a forgalmat, hogy mit csinál pontosan a támadó és írnék rá egy scriptet, ami a támadásokat kivezeti egy fail2ban számára emészthető log formájában.

    Phace Valamiért terminálban nem akarja...

    De köszi még agyalok a végigmenetelén.. 🙂

    
gcc -o lpatch lpatch.c md5.o
/usr/lib/gcc/x86_64-linux-gnu/7/../../../x86_64-linux-gnu/Scrt1.o: In function `_start':
(.text+0x20): undefined reference to `main'
collect2: error: ld returned 1 exit status

    cod2vawo.lpatch

    FILE
    cod2_lnxded

ONLY_ONE

BYTES_ORIGINAL              ; 1.0a
    c7 44 24 04 20 87 14 08 ; mov    DWORD PTR [esp+4],0x08148720
    c7 04 24 01 00 00 00    ; mov    DWORD PTR [esp],0x1
    e8 ?? ?? ?? ??          ; call   8061124 <strcpy@plt+0x16a80>

BYTES_PATCH
    c7 45 f4 00 00 00 00    ; mov    DWORD PTR [ebp-12],0x0
    31 c0                   ; xor    eax,eax
    90 90 90 90 90 90 90
    90 90 90 90

BYTES_ORIGINAL              ; 1.0
    c7 44 24 04 80 43 14 08 ; mov    DWORD PTR [esp+4],0x08144380
    c7 04 24 01 00 00 00    ; mov    DWORD PTR [esp],0x1
    e8 ?? ?? ?? ??          ; call   8061124 <strcpy@plt+0x16a80>

BYTES_PATCH
    c7 45 f4 00 00 00 00    ; mov    DWORD PTR [ebp-12],0x0
    31 c0                   ; xor    eax,eax
    90 90 90 90 90 90 90
    90 90 90 90

====================================================================================

lpatch.c
md5.c
md5.o

      Alakul már csak be kell röfizni.. 🙂

      
 ./lpatch q3rconz.lpatch

Lame patcher 0.4.4b
by Luigi Auriemma
e-mail: aluigi@autistici.org
web:    aluigi.org



Error:
the data file is incomplete or corrupted

      q3rconz.lpatch :

      CoD2 (the only addition in 0.1.2b)
BYTES_ORIGINAL
    A1 ?? ?? ?? ??      ; mov eax, dword ptr [0849FBF4]
    8B 55 EC            ; mov edx, dword ptr [ebp-14]
    29 C2               ; sub edx, eax
    89 D0               ; mov eax, edx
    3D F3 01 00 00      ; cmp eax, 000001F3
    7F 13               ; jg 00000026
    8D 85 ?? ?? FF FF   ; lea eax, dword ptr [ebp+FFFFFBC8]

BYTES_PATCH
    ?? ?? ?? ?? ??
    ?? ?? ??
    ?? ??
    ?? ??
    ?? ?? ?? ?? ??
    eb ??

      Sikerült... De csak origi szerókra megy fel.. a cucc..

      ./lpatch cod2_lnxded q3rconz.lpatch

      
Lame patcher 0.4.4b
by Luigi Auriemma
e-mail: aluigi@autistici.org
web:    aluigi.org



:
# Lame patcher 0.4.4b
# by Luigi Auriemma
# e-mail: aluigi@autistici.org
# web:    aluigi.org

Main folder     .
Data file       cod2_lnxded
Filename
Filesize        1317084
Original MD5    7f454c46010101000000000000000000
Patched MD5     0200030001000000c0a6040834000000

Usage:
      YES:      PATCH           (original => patched)
      NO:       UNPATCH         (restore the original)
      CANCEL:   EXIT

- choice (y/n/c): yes


Error:
Different MD5 checksum, file is not the original
Want you try to force the patching???

The process terminates automatically if finds a byte to modify that is
different than the original so you can recover your original file using
the UNPATCH option of this tool

Anyway I highly suggest to make a temporary BACKUP of your file if you
decide to choose YES and forcing the patching

- choice (y/n): y


Error:
wrong file offset
      • klt válaszolt erre.

        klt

        Úgy tűnik, hogy igen. 🙂
        Mivel megvan a forráskód, át lehetne alakítani, de sajnos ez nem az a fórum, így ebben nem segíthetünk.

        • klt válaszolt erre.

            Phace A nyílt forrású, ingyenes szoftverek elleni támadás, amikor fizetős program capcarázott változatát használják ingyen.
            ... szerintem....

                klt Tört verzió már az elején volt.
                A másik pb - punkbuster régen is volt. Mind a 2 verzióra.
                Linuxra ma napi ingyenes. Az hogy ez a (kreaált script csak originalra jó egy dolog.)

                De meg fogom oldani,hogy törtre is jó legyen.
                Már megvannak a fileok amiket kell módosítani.
                Pihenek és este fele átalakítom.

                  klt crackelt igen de támogatás nincs rá még mindig. Mivel hivatalos támogatás a punkbuster volt csak.

                  Ez egy egyedi utólag hozzá írt script. Ami a pb-t helyettesíti.

                    Abban a hiszemben segítettem/tünk neked, hogy ez egy eredeti dedikált szerver, amit DoS támadás ért. Ennek kivédéséhez megoldást keresel, hogy használni tudd az rcon-t. Egy már nem támogatott játék esetében a támadás kivédését célzó patch-elés talán nem ördögtől való, hogy megvédd a szervered/játékosaid a csalóktól, akik DoS támadással akadályozzák az rcon-al történő ban-olásukat. Ettől a problémád még nem oldódik meg, mivel így a brute-force alapú támadásoktól védtelenebb leszel. Csak az rcon-odat nem tudják olyan eredményesen DoS-olni. Ettől függetlenül a brute-force ellen így is hatékonyan védekezned kell. Tehát elkerülhetetlen egy minta alapján a védekezés tűzfal szintjén is, mert így könnyebben megszerezhetik az rcon jelszavadat.

                    Viszont az Ubuntu.hu nem támogatja a crack-elést, sem a crack-elt dedikált szerverek létrehozását. Ezért is jeleztem finoman, hogy ez nem az a fórum, ahol ilyenekben segítséget nyújtunk.

                    Amúgy nekem is megvan a rendes kulcs. (Nem crackelt és kidobnak a szerverek kulcs hibával.) Akkor az mi?
                    Értelek,de akkor hogy van ez? Ha pb-t bekapcsolom kidob a gyári kulcsommal. És igazából semmit sem ér már..

                    Megközelítőleg 17 éve üzemeltettem ilyen szervereket Linux alapokon. A mostani állapotokra semmilyen rálátásom nincs. Segítettünk amennyit tudtunk a problémáddal kapcsolatban. Amit írtam, nem sértésnek szántam, megértem az érveidet, de a szabad szoftverek és az Ubuntu szellemisége nagyon távol áll a crack-elt szoftverektől, így az ilyen jellegű tartalmakat okkal tiltjuk a fórumon. Kérlek ezt tartsd tiszteletben.