[ERROR/BUG] Descarga de archivos privados del servidor. Leido 9.642 veces

 
  Jose Antonio
Ya hace tiempo que esta vulnerabilidad apareció y todavía se sigue expandiendo. Consiste en un BUG o fallo que permite la descarga de cualquier archivo del servidor al cliente, con la cual consecuencia de un gran riesgo para la seguridad.

Los archivos mas vulnerables a este ataque (aunque todos son válidos) son server.cfg y users.ini.



El primero contiene toda la configuración que se va a cargar a la hora de iniciar el servidor, incluyendo la contraseña RCON que permite enviar comandos a la consola del servidor.



El segundo es un archivo del addon "amxmodx" para Counter-Strike 1.6 y contiene la lista de usuarios con permisos en el servidor, los administradores.

Descargando ambos, el atacante puede realizar cualquier operación en el servidor, con la cual consecuencia de caídas, cambios de mapas, nuevos administradores...

No voy a entrar en materia de como usar el BUG ni mucho menos pero si de la solución al mismo.

Se trata de un plugin para "metamod" llamado "antidlfile", el cual se puede descargar de aquí . Una vez descargado nos dirigimos hacia el directorio del servidor y lo metemos en "cstrike/addons". Ahora vamos a "cstrike/addons/metamod" y abrimos "plugins.ini". Añadimos al final del mismo "linux addons/antidlfile/antidlfile_i386.so" (solo válido para servidores linux) Con esto tenemos nuestro servidor protegido.



Un saludo.

 

 





  Jose Antonio
Actualizado, problemas al ver las fotos solucionados.
 

 





    ¿Cuantas columnas?     | 2 columnas | 3 columnas | 4 columnas | 5 columnas | 6 columnas |  
    Escribe la dirección web de la imagen:
  Publica tu respuesta  |  Haz Click en el siguiente cuadro para escribir Mostrar/Ocultar Editor avanzado