Roubo de dados?

[jun10r11]

Olá instalei a REV RUaCis para interlude alguns dias atrás, jogo apenas em servidor local no meu pc, não coloco o servidor on na net, e em um outro dia comecei a receber avisos de tentativa de loguin em algumas sites como, gmail e steam, gostaria que alguem que entende de programação desse uma olhada na minha tela do "gameserver console" e desse uma analisada se estão roubando informações por ela, aparecem algumas linhas de conecções com IPS de diversos paises diferentes. ou esta normal essas linhas são normais ?

segue prints em anexo

[BezneR]

Isso está parecendo "port scan", se você criou regras no firewall e/ou modem liberando as portas para acessar seu servidor remova-as e verifique se o problema irá persistir.

[BezneR]

1 hora atrás, jun10r11 disse:

Fechar as portas do firewall deu certo, unico problema que não vai da para jogar em rede novamente, mas obrigado pela dica

Remova as regras somente do modem, mantenha as regras do firewall na máquina que vai hospedar o servidor e configure um endereço IPV4 fixo nela.

Usando o cmd e digitando o comando "ipconfig" (sem as aspas) você consegue as informações que necessita.

Procure colocar um ip com uma numeração "elevada", Ex.: 192.168.100.123, pois os ip's iniciais geralmente são usados por outros dispositivos que estejam na rua rede, devido ao DHCP.

Se sua máscara de sub rede for /24 igual a minha procure usar um range entre 100 e 200.

[Kelvin]

Acho dificil que seja algum comprometimento direto com a RusAcis mas com um pouco reflexão podemos apontar várias causas.

Vou compartilhar alguns casos recorrentes que já enfrentei com clientes e parceiros durante os anos.

Que necessáriamente possa não ser o caso do @jun10r11 mas acredito que alguem até possa se identificar rsrs:

1. Revisões compiladas compartilhadas por membros e sites aleatórios são perigosas, se for para aprender sempre use um ambiente isolado como virtualbox, vmware, um vps na L2JCenter  ou um docker como o @Grundor muito bem ensina em seu guia.
2. Revisões compiladas geralmente usa-se quando você tem um contato direto com o desenvolvedor ou possua alguma plataforma de suporte como a Lucera.
3. O Navicat é uma das principais fontes de malwares, depois dos javas baixandos no site UpTown, o usuário pesquisa no google NAVICAT CRACK e sai instalando tudo, mudando DLL, EXE e tudo mais e por nunca ter tido "problemas" acredita que tá tudo safe.
4. Usar senhas como admin, root, admin123, mudar123, jesuseuteamo, aniversários, datas de casamento e comemorações, bom isso ai é exaustivamente divulgado na internet para educar os usuários.
5. Usar o VPS como se fosse um PC pessoal acessando todo tipo de site, baixando e usando navicat, notepad++, torrent com o emulador rodando.
6. Abrir a porta 3306 para conectar o site e liberar acesso para qualquer IP conectar-se ao invés de travar apenas para o IP que interessa que seria o de uma hospedagem e até o do próprio computador.
   Ai mete um user e senha ROOT ROOT e não sabe porque o banco foi criptografado.
7. Enviar o site, painel etc e sempre deixar na pasta public_html arquivos com ucp.zip, www.zip, public_html.zip, site.zip, a.zip e por ai vai. Ai o site aparece ai rodando em outros projetos ou jogadores começam a ser roubados e o admin não sabe o motivo.
    

Agora sobre o caso do tópico:

Não se engane que por seu IP não estar "público" ele não é visto. Todo IP tem um histórico, pessoas e empresas antes de você usaram então um banco de dados vazado com log desses IPs podem ser achados até grátis em foruns pela internet. Um bot scanport e até sites analogos pagos podem fazer isso facilmente, sendo chutando ou usando dessas listas. 

Uma porta sem um serviço em execução não representa muito perigoso, mas segurança para mim é um hobby não posso afirmar com certeza.

Mas a partir do momento que você abre uma portinha no seu roteador e seu IP XXX.XXX.XXX.XXX está em várias listas de bot que ficam 24h procurando um vacilo e eles vão rodar da porta 1-65536 até achar algo. Geralmente eles iniciam pppor portas padrões como 21, 22, 80, 445, 465, 587, 3306, 7777 e por ai vai.

Porque isso acontece? São portas usadas por serviços de emails, dns, web, jogos, voip etc etc etc então é bem conveniênte por existirem scripts prontos para isso.

O Open source é indiscutível que é um dos maiores responsáveis pelo avanço tecnologico que temos hoje em dia, mas claro, trás riscos pela exploração das tecnologias ali expostas livremente.

Acredito que o seu caso não se trata de um Keylogger mas sim de um scan básico no teu IP, por exemplo: Se o bot acha uma porta como a 3306 aberta automaticamente ele vai rodar algum script de conexão ao banco de dados seja ele MySQL, Mongo, SQLServer e vai tentando e tentando, se não existir nenhuma regra de firewall que crie politicas como limites de conexões, falhas em tentativas de inserir credenciais etc etc o cara vai tentando e tentando até achar algo que ele possa entrar e usar.

Usar se entende como: te transformar em um zumbi para ataques, sondar tua atividade no computador, ficar enviando spams de email, vasculhando teus arquivos ou simplesmente criptografando teus arquivos ou banco de dados com aquela velha mensagem de:
"Criptografamos a porra toda, mande bitcoins e você terá a key de restore.", bullshit.

No momento que você abriu as portas 3306, 2106 e 7777 (9014 é desnecessária) seu IP pode estar sendo sondados por esses bots e automaticamente quando eles descobrem que essas portas defaults estão respondendo eles vão tentando injetar tudo que podem até conseguirem causar algum dano, seja ele perceptivel como um ransomware ou algo invisível a exemplo dessas tentativas frustradas de conexão a teu emulador. E claro, você pode saber desse fato porque o emulador tá imprimindo para você essa informação ai na tela.

Acredito que o emulador e muito menos o desenvolvedor teria interesse em fazer algo tão sujo e simples de ser detectado, os russos não são tão loucos.

Um extra, essa é uma regra super simpples de bloqueio de IP que erram credenciais na porta remota do windows após 5 tentativas frustradas. Esse VPS foi reiniciado a 15 minutos, mas por se tratar de um IP de datacenter veja a quantidade de IPs sujos que já foram bloqueados:

 

  

Em 29/03/2023 at 10:32, coldplay disse:

Então no final das contas o problema nada teve a ver com essa rev. O que aconteceu foi que seu servidor estava aberto publicamente e foram feitas tentativas de conexão. Algo comum para qualquer dispositivo exposto na internet.

Provavelmente a opção de criar contas através do loginserver estava ativa no seu caso. O banco de dados deve conter contas que foram criadas durante esses ataques.
E o que os logs mostram foi que a verificação de protocolo evitou que houvesse algum dano maior, portanto de certa forma você foi protegido pelo sujeito que previu essa possibilidade e preparou o código para essa situação.

Podemos suspeitar dos russos nesse caso se considerarmos a possibilidade deles registrarem o IP de quem acessa o fórum e assim procurarem servidores abertos através desses endereços.
Também é possível que utilizem os dados inseridos para cadastro no site. Então se você se cadastrou com o mesmo e-mail no fórum da rusacis e nesses serviços que receberam tentativas de acesso, pode haver uma possível ligação entre os eventos.
Possíveis cenários, mas que não necessariamente apontam eles como culpados.

E os IPs que estão nos logs já são reconhecidos por realizarem diversas práticas duvidosas, então provavelmente alguma ferramenta de intrusão/scam automatizada fica realizando testes em servidores públicos (não somente de lineage) para ver se encontra alguma brecha.

Além disso tudo, se você não utiliza IP fixo, então ele é compartilhado entre os clientes do seu provedor de internet. Então pode ser que alguém hospedava algum serviço nesse IP que acabou o tornando um alvo comum de bots. Dessa forma qualquer coisa que for aberta nesse endereço vai receber ataques.

Enfim, são muitas possibilidades e acho que não podemos acusar os mantenedores da rev por isso.

Meus parabéns pela explicação você domina demais. É muito bom ter esse nível de membro na nossa comunidade.

22 horas atrás, Williams0ff disse:

o o ip do VPS é publico o que eu quis falar que não passei o IP para ninguém acessar.

Ips de VPS antes de você usar foram usados por outras pessoas, datacenters estão com grandes problemas na distribuição de IPV4 porque simplesmente estão acabando.
Cada IP, principalmente de provedores de serviço em grande escala como datacenters possuem ips por mais de décadas.
Esses IPs são vendidos em sites de proxy, leaks, hacking entre outras comunidades para enganar ou vazar dados que mesmo que sejam públicos, se compilados e listados podem ser valiosos.
Mesmo só você sabendo do IP nada impede que existam milhares de bots rodando diversas listas de IPs e escanenado portas.
É apenas uma mera coincidência enviesada pelo caso em questão.

 

[Asturias]

@Kelvin

@Grundor

@Nattan Felipe

Galerinha, esse assunto é um pouco sério, se a comunidade está injetando keyloggs ou cracks dentro dos arquivos, aí a comunidade começa a ficar suja!

 

[coldplay]

O servidor não estava online e mesmo assim esses logs apareceram no console?

[jun10r11]

3 horas atrás, coldplay disse:

O servidor não estava online e mesmo assim esses logs apareceram no console?

o servidor rodando no localhost

4 horas atrás, Asturias disse:

@Kelvin

@Grundor

@Nattan Felipe

Galerinha, esse assunto é um pouco sério, se a comunidade está injetando keyloggs ou cracks dentro dos arquivos, aí a comunidade começa a ficar suja!

Na verdade não sei se realmente tem leyloogs ou cracks ai, por isso postei para saber de alguém que entenda.

[Williams0ff]

10 horas atrás, jun10r11 disse:

Olá instalei a REV RUaCis para interlude alguns dias atrás, jogo apenas em servidor local no meu pc, não coloco o servidor on na net, e em um outro dia comecei a receber avisos de tentativa de loguin em algumas sites como, gmail e steam, gostaria que alguem que entende de programação desse uma olhada na minha tela do "gameserver console" e desse uma analisada se estão roubando informações por ela, aparecem algumas linhas de conecções com IPS de diversos paises diferentes. ou esta normal essas linhas são normais ?

segue prints em anexo

 

Realmente 

10 horas atrás, jun10r11 disse:

Olá instalei a REV RUaCis para interlude alguns dias atrás, jogo apenas em servidor local no meu pc, não coloco o servidor on na net, e em um outro dia comecei a receber avisos de tentativa de loguin em algumas sites como, gmail e steam, gostaria que alguem que entende de programação desse uma olhada na minha tela do "gameserver console" e desse uma analisada se estão roubando informações por ela, aparecem algumas linhas de conecções com IPS de diversos paises diferentes. ou esta normal essas linhas são normais ?

segue prints em anexo

São keylogs sim. Todos esses IPs são de maquinas virtuais que tentaram entrar no servidor mais foram bloqueadas pelo protocolo. Basta você rastrear todos IPS e verá os países eu não acredito que alguém daqui colocou isso mais acredito que já venha dos RUSSOS assim.

[jun10r11]

1 minuto atrás, Williams0ff disse:

Realmente 

São keylogs sim. Todos esses IPs são de maquinas virtuais que tentaram entrar no servidor mais foram bloqueadas pelo protocolo. Basta você rastrear todos IPS e verá os países eu não acredito que alguém daqui colocou isso mais acredito que já venha dos RUSSOS assim.

Sim foi o que fiz, todos os IPs são IPS que ja foram reportados inumeras vezes, tbm acredito que foram os russos, a maioria das tentativas de acesso remetem a Russia.

[BAN - L2JDev]

voce deve analisar a class sitada no erro e procurar se existe o Keylogs isso pode estar ligado.

Se voce ja teve servidor online nessa maquina usando esse IP e recentemente passou a usar RussaCis e ligo o servidor deles que pode operar com um protocolo diferente na sua nova system, apos alguem tentar logar no seu servidor usando uma system com protocol diferente ele vai bloquear mesmo estando setado os IPs para localhost dez que a porta esteja ativa sempre ele ira tentar fazer conexão mais como e localhost ele trava a entrada do jogar e acosa  um erro de log porque ta dando como servidor nao ativo

[jun10r11]

23 minutos atrás, BAN - L2JDev disse:

voce deve analisar a class sitada no erro e procurar se existe o Keylogs isso pode estar ligado.

Se voce ja teve servidor online nessa maquina usando esse IP e recentemente passou a usar RussaCis e ligo o servidor deles que pode operar com um protocolo diferente na sua nova system, apos alguem tentar logar no seu servidor usando uma system com protocol diferente ele vai bloquear mesmo estando setado os IPs para localhost dez que a porta esteja ativa sempre ele ira tentar fazer conexão mais como e localhost ele trava a entrada do jogar e acosa  um erro de log porque ta dando como servidor nao ativo

- Não encontrei nenhum processo diferente aberto em execução, tambem passei os antivirus não detectam nada ao scanear a pasta com os arquivos.
- Nunca tive servidor online, na verdade já coloquei ele em rede atraves do Hamachi e acessei em outro PC daqui de casa, porém agora é só localhost mesmo. 

[BAN - L2JDev]

47 minutos atrás, jun10r11 disse:

- Não encontrei nenhum processo diferente aberto em execução, tambem passei os antivirus não detectam nada ao scanear a pasta com os arquivos.
- Nunca tive servidor online, na verdade já coloquei ele em rede atraves do Hamachi e acessei em outro PC daqui de casa, porém agora é só localhost mesmo. 

estranho por esse metodos de login ai são tão velhos quando os computadores, pra um conseguir burlar isso deve ser velho tanto quanto, mais eles ja se foram do nosso l2j

[coldplay]

Você mesmo compilou essa rev ou já baixou pronta?

[Henrique S]

IP: 87.236.176.44  Oscilação Raio: 87.236.176.54
Provedor: Constantine Cybersecurity Ltd.
IPv6: XXXX:XXXX:XX:XXXX:XXXX:XXXX:XXXX:XXXX
Cidade: Leeds
País: United Kingdom
Região: England
Endereço: Próximo ao Archbishop's Park

Edited March 28 by Henrique S

[jun10r11]

2 horas atrás, coldplay disse:

Você mesmo compilou essa rev ou já baixou pronta?

Baixei pronta

[coldplay]

Aqui do fórum mesmo? manda o arquivo pra gente baixar

 

[4Unknow]

Olha, eu tenho a versão paga da RusaCis. Inclusive a versão 3.5 está boa de mais.
Testei  muito e ainda testo. Já está na versão 3.6 e nunca vi isso no meu console ou algo parecido.
Posso tentar repassar para o responsável caso alguém esteja fazendo isso. Pois eles tem grupo no discord, telegram e nunca teve relatos disso da rusacis. 
Como disse, uso ela gosto dela, e nunca tive relatos ou nem mesmo vi algo parecido assim. Agora não sei a fonte dessa sua.

[4Unknow]

5 horas atrás, Williams0ff disse:

Realmente 

São keylogs sim. Todos esses IPs são de maquinas virtuais que tentaram entrar no servidor mais foram bloqueadas pelo protocolo. Basta você rastrear todos IPS e verá os países eu não acredito que alguém daqui colocou isso mais acredito que já venha dos RUSSOS assim.

Tudo IP dos EUA. 
Pesquisa por IP GeoLocation.
Do Brasil não é mesmo.

[jun10r11]

2 horas atrás, PeNaChO disse:

Isso está parecendo "port scan", se você criou regras no firewall e/ou modem liberando as portas para acessar seu servidor remova-as e verifique se o problema irá persistir.

sim liberei as portas necessarias para se jogar em rede, liberei as 9014 2106 7777 somente, tanto no firewal quanto no modem

2 horas atrás, 4Unknow disse:

Olha, eu tenho a versão paga da RusaCis. Inclusive a versão 3.5 está boa de mais.
Testei  muito e ainda testo. Já está na versão 3.6 e nunca vi isso no meu console ou algo parecido.
Posso tentar repassar para o responsável caso alguém esteja fazendo isso. Pois eles tem grupo no discord, telegram e nunca teve relatos disso da rusacis. 
Como disse, uso ela gosto dela, e nunca tive relatos ou nem mesmo vi algo parecido assim. Agora não sei a fonte dessa sua.

Tambem uso a RUAciS 3.5, baixei direto do forum russo.

2 horas atrás, coldplay disse:

Aqui do fórum mesmo? manda o arquivo pra gente baixar

https://rusacis.ru/threads/       revision-3-5.263/

Os antivirus não detectam nada.

 

Edited March 28 by jun10r11

[Dwbryel]

Opa, a mais ou menos 1 ou 2 semanas atrás, também tive um problema parecido com isso ai, mas baixei um negocio que deveria ser relacionado a L2.
No mesmo dia tive vários problemas com Tentativas e sucessos de login em vários emails/contas/yt/face/insta/steam etc

Meu caso mesmo não foi baixado a rusacis, mas algo na comunidade (gringa) de l2.

[jun10r11]

3 horas atrás, PeNaChO disse:

Isso está parecendo "port scan", se você criou regras no firewall e/ou modem liberando as portas para acessar seu servidor remova-as e verifique se o problema irá persistir.

Fechar as portas do firewall deu certo, unico problema que não vai da para jogar em rede novamente, mas obrigado pela dica

[coldplay]

Então no final das contas o problema nada teve a ver com essa rev. O que aconteceu foi que seu servidor estava aberto publicamente e foram feitas tentativas de conexão. Algo comum para qualquer dispositivo exposto na internet.

Provavelmente a opção de criar contas através do loginserver estava ativa no seu caso. O banco de dados deve conter contas que foram criadas durante esses ataques.
E o que os logs mostram foi que a verificação de protocolo evitou que houvesse algum dano maior, portanto de certa forma você foi protegido pelo sujeito que previu essa possibilidade e preparou o código para essa situação.

Podemos suspeitar dos russos nesse caso se considerarmos a possibilidade deles registrarem o IP de quem acessa o fórum e assim procurarem servidores abertos através desses endereços.
Também é possível que utilizem os dados inseridos para cadastro no site. Então se você se cadastrou com o mesmo e-mail no fórum da rusacis e nesses serviços que receberam tentativas de acesso, pode haver uma possível ligação entre os eventos.
Possíveis cenários, mas que não necessariamente apontam eles como culpados.

E os IPs que estão nos logs já são reconhecidos por realizarem diversas práticas duvidosas, então provavelmente alguma ferramenta de intrusão/scam automatizada fica realizando testes em servidores públicos (não somente de lineage) para ver se encontra alguma brecha.

Além disso tudo, se você não utiliza IP fixo, então ele é compartilhado entre os clientes do seu provedor de internet. Então pode ser que alguém hospedava algum serviço nesse IP que acabou o tornando um alvo comum de bots. Dessa forma qualquer coisa que for aberta nesse endereço vai receber ataques.

Enfim, são muitas possibilidades e acho que não podemos acusar os mantenedores da rev por isso.

[jun10r11]

5 horas atrás, coldplay disse:

Então no final das contas o problema nada teve a ver com essa rev. O que aconteceu foi que seu servidor estava aberto publicamente e foram feitas tentativas de conexão. Algo comum para qualquer dispositivo exposto na internet.

Provavelmente a opção de criar contas através do loginserver estava ativa no seu caso. O banco de dados deve conter contas que foram criadas durante esses ataques.
E o que os logs mostram foi que a verificação de protocolo evitou que houvesse algum dano maior, portanto de certa forma você foi protegido pelo sujeito que previu essa possibilidade e preparou o código para essa situação.

Podemos suspeitar dos russos nesse caso se considerarmos a possibilidade deles registrarem o IP de quem acessa o fórum e assim procurarem servidores abertos através desses endereços.
Também é possível que utilizem os dados inseridos para cadastro no site. Então se você se cadastrou com o mesmo e-mail no fórum da rusacis e nesses serviços que receberam tentativas de acesso, pode haver uma possível ligação entre os eventos.
Possíveis cenários, mas que não necessariamente apontam eles como culpados.

E os IPs que estão nos logs já são reconhecidos por realizarem diversas práticas duvidosas, então provavelmente alguma ferramenta de intrusão/scam automatizada fica realizando testes em servidores públicos (não somente de lineage) para ver se encontra alguma brecha.

Além disso tudo, se você não utiliza IP fixo, então ele é compartilhado entre os clientes do seu provedor de internet. Então pode ser que alguém hospedava algum serviço nesse IP que acabou o tornando um alvo comum de bots. Dessa forma qualquer coisa que for aberta nesse endereço vai receber ataques.

Enfim, são muitas possibilidades e acho que não podemos acusar os mantenedores da rev por isso.

Boas considerações, algumas observações caso queira analisar mais:
- No banco de dados não foi criado nenhuma conta nova.
- O servidor nunca ficou online a não ser na rede local.
- Utilzo IP fixo, na maquina que roda o servidor.

Acho pouco provável que alguém da comunidade do L2J BR ou RUS tenha feito isso, creio mais em bots que se apreveitam das brechas que ficam quando deixamos o firewall desligado.

Obrigado a todos que analisaram o problema.

[Williams0ff]

6 horas atrás, coldplay disse:

Então no final das contas o problema nada teve a ver com essa rev. O que aconteceu foi que seu servidor estava aberto publicamente e foram feitas tentativas de conexão. Algo comum para qualquer dispositivo exposto na internet.

Provavelmente a opção de criar contas através do loginserver estava ativa no seu caso. O banco de dados deve conter contas que foram criadas durante esses ataques.
E o que os logs mostram foi que a verificação de protocolo evitou que houvesse algum dano maior, portanto de certa forma você foi protegido pelo sujeito que previu essa possibilidade e preparou o código para essa situação.

Podemos suspeitar dos russos nesse caso se considerarmos a possibilidade deles registrarem o IP de quem acessa o fórum e assim procurarem servidores abertos através desses endereços.
Também é possível que utilizem os dados inseridos para cadastro no site. Então se você se cadastrou com o mesmo e-mail no fórum da rusacis e nesses serviços que receberam tentativas de acesso, pode haver uma possível ligação entre os eventos.
Possíveis cenários, mas que não necessariamente apontam eles como culpados.

E os IPs que estão nos logs já são reconhecidos por realizarem diversas práticas duvidosas, então provavelmente alguma ferramenta de intrusão/scam automatizada fica realizando testes em servidores públicos (não somente de lineage) para ver se encontra alguma brecha.

Além disso tudo, se você não utiliza IP fixo, então ele é compartilhado entre os clientes do seu provedor de internet. Então pode ser que alguém hospedava algum serviço nesse IP que acabou o tornando um alvo comum de bots. Dessa forma qualquer coisa que for aberta nesse endereço vai receber ataques.

Enfim, são muitas possibilidades e acho que não podemos acusar os mantenedores da rev por isso.

Tem haver com a REV sim, diversas tentativas de boots tentaram acessar o servidor.

Me dei o trabalho de colocar essa RUSACIS em um VPS não compartilhei IP com ninguém da maquina o VPS é limpo e tem varias tentativas de login de ontem pra hoje

 

 

 

tenham cuidado ao utilizar a RUSACIS !!

19 minutos atrás, jun10r11 disse:

Boas considerações, algumas observações caso queira analisar mais:
- No banco de dados não foi criado nenhuma conta nova.
- O servidor nunca ficou online a não ser na rede local.
- Utilzo IP fixo, na maquina que roda o servidor.

Acho pouco provável que alguém da comunidade do L2J BR ou RUS tenha feito isso, creio mais em bots que se apreveitam das brechas que ficam quando deixamos o firewall desligado.

Obrigado a todos que analisaram o problema.

São bots para aumentar o trafegos do servidor para congestionar. Acredito que não consigam invadir completamente o servidor VPS.

[coldplay]

58 minutos atrás, jun10r11 disse:

- O servidor nunca ficou online a não ser na rede local.

Essa afirmação você mudou mais de uma vez. Não dá pra saber o acontece de verdade aí.

Se com "nunca ficou online" você quer dizer nunca foi divulgado ou anunciado, então isso não quer dizer que ele não estava disponível. Porque você mesmo afirmou que as portas estavam abertas publicamente.

Enfim, acho que o problema já foi bastante debatido.

[Williams0ff]

2 minutos atrás, coldplay disse:

Essa afirmação você mudou mais de uma vez. Não dá pra saber o acontece de verdade aí.

Se com "nunca ficou online" você quer dizer nunca foi divulgado ou anunciado, então isso não quer dizer que ele não estava disponível. Porque você mesmo afirmou que as portas estavam abertas publicamente.

Enfim, acho que o problema já foi bastante debatido.

 

o o ip do VPS é publico o que eu quis falar que não passei o IP para ninguém acessar.