DoS on the loose!!! (IMPORTANTE)

[Devil]

Todos los admins que usen Linux, les sugiero que ejecuten estas reglas de iptables para filtrar un ataque DoS que podria dejar sus servers colgados :

Código:

iptables -N hl-dos 2>/dev/null
iptables -A hl-dos -j LOG -m limit --limit 30/minute --log-prefix "[PROHIBITED HL-DOS]: "
iptables -A hl-dos -j REJECT --reject-with icmp-net-prohibited
iptables -I INPUT -m string --string "HalfLife buffer overflow by Auriemma Luigi." -j hl-dos

Si bien no es una solucion definitiva y es relativamente facil cambiar el codigo del exploit para que no use esos strings, esto detendra facilmente el 90% de ataques provenientes de script kiddies.

Si no tienen el modulo de libipt_string tendran que compilarlo a mano (www.netfilter.org).

PD: Sorry, no se como pararlo en Windows.

[boba fett]

ok, gracias :S

[Devil]

Sorry mi querido boba, pero justamente lo posteo en este foro de Server Admins ya que asumo son entendidos en el tema ;)

Otro workarround que me parece mucho mas eficiente que el anterior puesto que no "lentea" la maquina es crear un archivo de nombre boffix.c en el mismo directorio del hlds_run con el siguiente contenido :

Código:

#include <stdio.h>
#define __USE_GNU
#include <dlfcn.h>

void Info_FindLargestKey&#40;char* string&#41;
&#123;

        void &#40;*origInfo_FindLargestKey&#41;&#40;char*&#41;;
        char* error;
        void* handle;

        handle = dlopen&#40;"./engine_i386.so", RTLD_NOW&#41;;

        origInfo_FindLargestKey = dlsym &#40;handle, "Info_FindLargestKey"&#41;;

        if &#40;&#40;error = dlerror&#40;&#41;&#41; != NULL&#41;
        &#123;
                fprintf&#40;stderr, "%s\n", error&#41;;
                exit&#40;1&#41;;
        &#125;

        if &#40;strlen&#40;string&#41; > 255&#41;
        &#123;
                string&#91;255&#93; = 0;
        &#125;

        origInfo_FindLargestKey&#40;string&#41;;
&#125;

Compilarlo con el comando :

Código:

gcc -fpic boffix.c -shared -Wl,-soname,boffix.so,-g -lc -o boffix_i386.so

cargarlos en su hlds_run con una linea export al inicio :

Código:

export LD_PRELOAD=./boffix_i386.so

Reiniciar el server y listo.

PD: Si lo que leen les parece chino, please ni siquiera lo intenten. Caballero esperen al update de VALVe si es que se da en este siglo ...

[Devil]

Como veo TANTOS interesados en que no los "HACKEEN" sus servers, aqui el nuevo HLDS 3.1.1.1d :

We've put the x.1.1.1d beta release on our FTP site. Server admin should
update their servers to x.1.1.1d to protect against security exploits.

You can grab the "d" beta release here:

ftp.valvesoftware.com
login: hlserver
pass: hlserver

Win32
=====
file: hlds4111d_beta.exe
md5: f523557dac8dcfc1ccde6c8958bc9b52

Linux
=====
file: hlds_l_3111d_update.tar.gz
md5: fb45a812d4940b1603d894a25b961ec8

Here's the change list for the "d" release:

Changes/Additions:
------------------
- Added bot count to "details" server query reply.
- Flipped anti-DoS logic to check per user and then global rate limits.
Changed it so users exceeding personal rates don't add into the global rate
calculations.
- Performed optimizations on engine to improve performance.
- Linux: Added "-pidfile <filename>" argument to hlds to get it to write the
pid of the dedicated server process to the file specified.
- Linux: Improved "-debug" command to look for core.<pid> files.
- Linux: hlds echoes to the controlling tty rather than stdout (solves
redirecting output no longer showing key presses).
- HLTV: Changed "status" output, more info displayed.
- HLTV: Added cvar "maxloss", default 0.05, if packet loss exceeds this
threshold, new spectators are rejected.
- HLTV: Zero delay possible for direct broadcasts without game buffering
("delay 0").

Bug Fixes:
----------
- Fixed format string crash bug in logging.
- Fixed infinite loop due to malformed infostring.
- HLTV: Fixed system timer problem.
- HLTV: Fixed missing end in HLTV demos.
- HLTV: Fixed missing director commands with "playdemo" in HLTV console.
- HLTV: Fixed MAX_OSPATH.

Let us know if you have any problems with this release and we'll look into
them right away.

Thanks.

Eric Smith
Valve

[teletubie]

esos DoS me tuvieron loco hace 2 días, el cpu a 100% y no respondía... he estado usando los 3.1.1.1 desde que salieron... el problema que tienen es que van ocumando cada vez mas memoria, comienzan en 60Mb y en un día estan en 100Mb de ram... yo los estoy reiniciando una vez al día.. con killall hlds_i686

Smr

[Devil]

El 3.1.1.1 no sirve. El CPU se va a las nubes.

Yo estoy trabajando en todos los equipos que manejo con el 3.1.1.0c y con el patch que puse en mi segundo post. Sin problemas hasta el momento ;)

Ademas el 3.1.1.1x tiene un problema raro donde las balas son super random. Prueba en varias situaciones darle a alguien en la cabeza y veras que muchas balas no caen por nada. Muchos servers en USA no lo quieren usar por esa razon.

PD: Aqui una version mas limpia del patch que puse arriba :

http://miklos.clanhost.dk/

[teletubie]

asu, no sabía... con razón que el otro día jugando en otro server nos parecía que se daban "demasiados headshots", será por eso que la gente de la cabina está agarrando una puntería de los mil diablos :)

Las primeras versiones usaban harto cpu y el ping se mantenía alto... pero parece que con cada beta anda mejor.... a ver si cambio el servidor MR con la versión anterior y presto más atención.

En general he visto que con la ultima versión los flashes siempre ciegan y el choque / loss se mantiene en 0 no importa cuan descabellados sean los comandos cl_cmdrate y cl_updaterate que le ponga el cliente.

Smr

[Devil]

Las primeras versiones usaban harto cpu y el ping se mantenía alto... pero parece que con cada beta anda mejor.... a ver si cambio el servidor MR con la versión anterior y presto más atención.
Smr

Hay una mejora con respecto a la primera 3.1.1.1, pero igual la ultima beta 3.1.1.1d tiene un 20% adicional de CPU que la 3.1.1.0c. La primera llegaba a casi 40% adicional :P

Ademas la opciones de pingboost realmente ni sirven en esta nueva version, a comparacion de los excelentes resultados que da en la 3.1.1.0c. Con pingboost 3 y sys_ticrate 1000 tengo servers de retos con menos de 10ms de ping, asi los jugadores pongan cl_updaterate 101 y cl_cmdrate 100. Claro, solo en una maquina potente ;)

Ese combo es LA opcion para campeonatos y servers de MR. Asi es como tengo los servers de MR de Cavenet y creo que los equipos que jugaron en la liga pueden dar fe que el ping era excelente.