hi leute,ich möchte hier mal auf eine schwachstelle hinweisen.
wer auf seinem gs maniadmin-plug und cvarblock benutzt,
muss damit rechnen das irgendson "spinner" den server manipuliert.
das ganze funktioniert über ma_comands.
so kann es passieren,das einer mit folgenden namen joint.
Zitatserverlog
"al;ma_cexec_all name b;ma_ban b<41><STEAM_ID_PENDING><>" connected, address "80.171.39.211:65347"
das resultat ist,das bei allen spielern der name auf " b " gesetzt wird,bzw nur bei einem,die anderen heissen dann b1 b2 b3 b4 usw.
dann wird der spieler mit dem namen b vom server gebant,bzw gekickt.
das funktioniert leider auch mit allen anderen ma_comands.
ob es an der mischung liegt,mani + cvarblock,kann ich noch nicht sagen.
möchte das auch nur als warnung posten.
übrigens muss der "spinner" der sich sowas ausdenkt,eine gültige steamid haben,mit der er joint.
diese kann man dann ja im nachhinein bannen.
im manilog sieht das dann so aus.
ZitatAlles anzeigenM 05/06/0106 - 19:30:43: Log file [./cfg/mani_admin_plugin/mani_logs/M0506008.log] started for map [de_dust]
M 05/06/2006 - 19:35:34: CONSOLE : ma_cexec_all name b
M 05/06/2006 - 19:36:06: CONSOLE : ma_cexec_all name b
M 05/06/2006 - 19:36:06: CONSOLE : Banned (By Admin) [(1)b] [STEAM_0:0:xyzblabla] banid b 39 kick
M 05/06/2006 - 19:36:37: CONSOLE : ma_cexec_all name b
M 05/06/2006 - 19:37:40: CONSOLE : ma_cexec_all say IMANOOB(STEAM_0:0:andere id) Authenticated
M 05/06/2006 - 19:38:21: CONSOLE : ma_cexec_all name b
M 05/06/2006 - 19:38:49: CONSOLE : ma_cexec_all name b
M 05/06/2006 - 19:39:22: CONSOLE : ma_cexec_all name b
M 05/06/2006 - 19:44:34: CONSOLE : User attempted to change to mapname [test_speakers]
M 05/06/2006 - 19:45:16: CONSOLE : User attempted to change to mapname [test_speakers]
man könnte nun meinen da hat jemand über das rconpw ma_comands ausgeführt,das serverlog gibt aber aufschluss.
gruss s.b.
edit:mittlerweile hab ich raus,das es sogar fertige plugins für den client gibt,welche die schwachstelle ausnutzen.