Sziasztok. Olyan gondom lenne,hogy van egy logom. Abból akarom kiszűrni a csalókat egy szerveren.
Fail2ban - jail + filter - iptables.

/etc/fail2ban/jail.d/cod2.conf

[cod2]
enabled = true
port = 28960
protocol = udp
filter = cod2
logpath = /home/cod2server/log/console/cod2server-console.log
maxretry = 3
findtime = 600
bantime = 3600
action = iptables-multiport[name=cod2, port="28960", protocol=udp, chain=INPUT]

Erre lázad a regexben:

/etc/fail2ban/filter.d/cod2.conf


[Definition]
failregex = Rcon from <HOST>:.*
ignoreregex =

Lázadás:

sudo fail2ban-regex /log/console/cod2server-console.log /etc/fail2ban/filter.d/cod2.conf

Running tests
=============

Use   failregex filter file : cod2, basedir: /etc/fail2ban
Use         log file : /home/cod2server/log/console/cod2server-console.log
Use         encoding : UTF-8

Traceback (most recent call last):
  File "/usr/bin/fail2ban-regex", line 34, in <module>
    exec_command_line()
  File "/usr/lib/python3/dist-packages/fail2ban/client/fail2banregex.py", line 836, in exec_command_line
    if not fail2banRegex.start(args):
  File "/usr/lib/python3/dist-packages/fail2ban/client/fail2banregex.py", line 776, in start
    self.process(test_lines)
  File "/usr/lib/python3/dist-packages/fail2ban/client/fail2banregex.py", line 584, in process
    line_datetimestripped, ret, is_ignored = self.testRegex(line)
  File "/usr/lib/python3/dist-packages/fail2ban/client/fail2banregex.py", line 456, in testRegex
    found = self._filter.processLine(line, date)
  File "/usr/lib/python3/dist-packages/fail2ban/server/filter.py", line 613, in processLine
    timeMatch = self.dateDetector.matchTime(line)
  File "/usr/lib/python3/dist-packages/fail2ban/server/datedetector.py", line 368, in matchTime
    (line[distance] == self.__lastPos[2] and not self.__lastPos[2].isalnum())
IndexError: string index out of range
  • klt válaszolt erre.

    Szia az a baj ezt a részt nem tudom hogy jól adtam-e meg..

    failregex = Rcon from <HOST>:.*

    • klt válaszolt erre.

      2007 körül üzemeltettem anno ilyen szervert, azóta eltelt "pár" év. 🙁
      Nem emlékszem már a COD2 log-jára, de ennek mintájára szerintem tudsz írni hasonlót:

      filter.d

      # Fail2Ban filter for failure attempts in Counter Strike-1.6
[Definition]
failregex = ^: Bad Rcon: "rcon \d+ "\S+"  sv_contact ".*?"" from "<HOST>:\d+"$
ignoreregex =
datepattern = ^L %%d/%%m/%%Y - %%H:%%M:%%S

      jail.conf:

      [counter-strike]
logpath = /opt/cstrike/logs/L[0-9]*.log
tcpport = 27030,27031,27032,27033,27034,27035,27036,27037,27038,27039
udpport = 1200,27000,27001,27002,27003,27004,27005,27006,27007,27008,27009,27010,27011,27012,27013,27014,27015
action_  = %(default/action_)s[name=%(__name__)s-tcp, port="%(tcpport)s", protocol="tcp"]
           %(default/action_)s[name=%(__name__)s-udp, port="%(udpport)s", protocol="udp"]
      • klt kedveli ezt.

      Az a baj a mai csalók az rcon felé adnak le 10.000 parancsot és a cod2 csak 10-et bír el. Így az igazi admin nem is tud belépni.
      És a poén,hogy kértem olyan szerverről logot ami alapján egy minta alapján eltudnám készíteni talán az orvosságot,de nem érdekük inkább a hírnév..

      Most tapogatózok a sötétben...

      Az az érdekes,hogy ha nem jelentkezek be rconba ne logolja a parancsokat amiket kiadok..

      Rcon from 192.168.9.64:28960:
      pb_sv_plist

      Ezt is csak akkor logolja ha be vagyok lépve...

      Tehát kapsz egy finom DoS támadást az Rcon-ra. Ezt nem tudod kivédeni a COD2 szerver log-jára fail2ban-t eresztve, mivel nem is készül róla log bejegyzés.

      Luigi Auriemma készített erre egy patch-et, itt találod:
      https://aluigi.altervista.org/patches/q3rconz.lpatch

      Én a helyedben tennék elé egy proxy szervert, vagy tcpdump-al elemezném a forgalmat, hogy mit csinál pontosan a támadó és írnék rá egy scriptet, ami a támadásokat kivezeti egy fail2ban számára emészthető log formájában.

        Phace Valamiért terminálban nem akarja...

        De köszi még agyalok a végigmenetelén.. 🙂

        
gcc -o lpatch lpatch.c md5.o
/usr/lib/gcc/x86_64-linux-gnu/7/../../../x86_64-linux-gnu/Scrt1.o: In function `_start':
(.text+0x20): undefined reference to `main'
collect2: error: ld returned 1 exit status

        cod2vawo.lpatch

        FILE
    cod2_lnxded

ONLY_ONE

BYTES_ORIGINAL              ; 1.0a
    c7 44 24 04 20 87 14 08 ; mov    DWORD PTR [esp+4],0x08148720
    c7 04 24 01 00 00 00    ; mov    DWORD PTR [esp],0x1
    e8 ?? ?? ?? ??          ; call   8061124 <strcpy@plt+0x16a80>

BYTES_PATCH
    c7 45 f4 00 00 00 00    ; mov    DWORD PTR [ebp-12],0x0
    31 c0                   ; xor    eax,eax
    90 90 90 90 90 90 90
    90 90 90 90

BYTES_ORIGINAL              ; 1.0
    c7 44 24 04 80 43 14 08 ; mov    DWORD PTR [esp+4],0x08144380
    c7 04 24 01 00 00 00    ; mov    DWORD PTR [esp],0x1
    e8 ?? ?? ?? ??          ; call   8061124 <strcpy@plt+0x16a80>

BYTES_PATCH
    c7 45 f4 00 00 00 00    ; mov    DWORD PTR [ebp-12],0x0
    31 c0                   ; xor    eax,eax
    90 90 90 90 90 90 90
    90 90 90 90

====================================================================================

lpatch.c
md5.c
md5.o

          Alakul már csak be kell röfizni.. 🙂

          
 ./lpatch q3rconz.lpatch

Lame patcher 0.4.4b
by Luigi Auriemma
e-mail: aluigi@autistici.org
web:    aluigi.org



Error:
the data file is incomplete or corrupted

          q3rconz.lpatch :

          CoD2 (the only addition in 0.1.2b)
BYTES_ORIGINAL
    A1 ?? ?? ?? ??      ; mov eax, dword ptr [0849FBF4]
    8B 55 EC            ; mov edx, dword ptr [ebp-14]
    29 C2               ; sub edx, eax
    89 D0               ; mov eax, edx
    3D F3 01 00 00      ; cmp eax, 000001F3
    7F 13               ; jg 00000026
    8D 85 ?? ?? FF FF   ; lea eax, dword ptr [ebp+FFFFFBC8]

BYTES_PATCH
    ?? ?? ?? ?? ??
    ?? ?? ??
    ?? ??
    ?? ??
    ?? ?? ?? ?? ??
    eb ??

          Sikerült... De csak origi szerókra megy fel.. a cucc..

          ./lpatch cod2_lnxded q3rconz.lpatch

          
Lame patcher 0.4.4b
by Luigi Auriemma
e-mail: aluigi@autistici.org
web:    aluigi.org



:
# Lame patcher 0.4.4b
# by Luigi Auriemma
# e-mail: aluigi@autistici.org
# web:    aluigi.org

Main folder     .
Data file       cod2_lnxded
Filename
Filesize        1317084
Original MD5    7f454c46010101000000000000000000
Patched MD5     0200030001000000c0a6040834000000

Usage:
      YES:      PATCH           (original => patched)
      NO:       UNPATCH         (restore the original)
      CANCEL:   EXIT

- choice (y/n/c): yes


Error:
Different MD5 checksum, file is not the original
Want you try to force the patching???

The process terminates automatically if finds a byte to modify that is
different than the original so you can recover your original file using
the UNPATCH option of this tool

Anyway I highly suggest to make a temporary BACKUP of your file if you
decide to choose YES and forcing the patching

- choice (y/n): y


Error:
wrong file offset
          • klt válaszolt erre.

            klt

            Úgy tűnik, hogy igen. 🙂
            Mivel megvan a forráskód, át lehetne alakítani, de sajnos ez nem az a fórum, így ebben nem segíthetünk.

            • klt válaszolt erre.

                Phace A nyílt forrású, ingyenes szoftverek elleni támadás, amikor fizetős program capcarázott változatát használják ingyen.
                ... szerintem....

                    klt Tört verzió már az elején volt.
                    A másik pb - punkbuster régen is volt. Mind a 2 verzióra.
                    Linuxra ma napi ingyenes. Az hogy ez a (kreaált script csak originalra jó egy dolog.)

                    De meg fogom oldani,hogy törtre is jó legyen.
                    Már megvannak a fileok amiket kell módosítani.
                    Pihenek és este fele átalakítom.

                      klt crackelt igen de támogatás nincs rá még mindig. Mivel hivatalos támogatás a punkbuster volt csak.

                      Ez egy egyedi utólag hozzá írt script. Ami a pb-t helyettesíti.

                        Abban a hiszemben segítettem/tünk neked, hogy ez egy eredeti dedikált szerver, amit DoS támadás ért. Ennek kivédéséhez megoldást keresel, hogy használni tudd az rcon-t. Egy már nem támogatott játék esetében a támadás kivédését célzó patch-elés talán nem ördögtől való, hogy megvédd a szervered/játékosaid a csalóktól, akik DoS támadással akadályozzák az rcon-al történő ban-olásukat. Ettől a problémád még nem oldódik meg, mivel így a brute-force alapú támadásoktól védtelenebb leszel. Csak az rcon-odat nem tudják olyan eredményesen DoS-olni. Ettől függetlenül a brute-force ellen így is hatékonyan védekezned kell. Tehát elkerülhetetlen egy minta alapján a védekezés tűzfal szintjén is, mert így könnyebben megszerezhetik az rcon jelszavadat.

                        Viszont az Ubuntu.hu nem támogatja a crack-elést, sem a crack-elt dedikált szerverek létrehozását. Ezért is jeleztem finoman, hogy ez nem az a fórum, ahol ilyenekben segítséget nyújtunk.

                        Amúgy nekem is megvan a rendes kulcs. (Nem crackelt és kidobnak a szerverek kulcs hibával.) Akkor az mi?
                        Értelek,de akkor hogy van ez? Ha pb-t bekapcsolom kidob a gyári kulcsommal. És igazából semmit sem ér már..

                        Megközelítőleg 17 éve üzemeltettem ilyen szervereket Linux alapokon. A mostani állapotokra semmilyen rálátásom nincs. Segítettünk amennyit tudtunk a problémáddal kapcsolatban. Amit írtam, nem sértésnek szántam, megértem az érveidet, de a szabad szoftverek és az Ubuntu szellemisége nagyon távol áll a crack-elt szoftverektől, így az ilyen jellegű tartalmakat okkal tiltjuk a fórumon. Kérlek ezt tartsd tiszteletben.