Flyff - PServer Itemhacking

Page 1 of 2

03/11/2011 20:16 .Moe�#1

Hey ihr,

zuerst m�chte ich klarstellen, dass ich kein Programm, einen Bug, oder �hnliches suche, oder das , was ich gleich schildere ausnutzen (bzw. eure Antworten), sondern ich m�chte wissen, woran es liegen kann und wie man es beheben kann.

Also:
Ich hab eine Zeit lang auf einem Privatserver gespielt, welcher keinen Antihack besitzt. (sogut wie jeder meinte auch, dass Toms AH kaum noch was bringt, da er leicht zu umgehen sei etc.)
Bis vor ein paar Tagen lief alles blendent nur seid ein paar Tagen (Server ist jetzt offline, bis eine L�sung gefunden wird) kamen immer Hacker, Bugger o.�. auf den Server und haben sich auf irgendeine Weise Items ercheatet.

Sie standen dann in Flaris rum haben den ganzen Shop mit 9.999 Perinstacks f�r 1Penya pro gef�llt und die User haben die gekauft.
Das gleiche mit DONATIONPOINTS.
10.000er Stacks ganzer Shop voll -> 1Penya pro.
35Points haben einen Wert von 10€.

Jetzt w�rde ich gerne wissen, wie man das beheben kann - bzw. wie es �berhaupt dazu gekommen ist.

- ICH WERDE DEN NAMEN DES SERVERS NICHT NENNEN, DA ICH NICHT M�CHTE, DASS DIE ADMINS DURCH MICH IRGENDWIE ZUGESPAMMT WERDEN ODER �HNLICHES -

Ich w�rde mich freuen, wenn mir jemand helfen kann.

- Jede hilfreiche Antwort erh�lt ein "Thanks".

03/11/2011 20:20 �o.O domi6767 O.o�#2

Evt andere server files oder liege ich da falsch?

03/11/2011 20:23 .Moe�#3

Virtuos Files.

- Liegst somit richtig. :P

Vergessen zu erw�hnen, sorry. P:

03/11/2011 20:29 Fullscreen#4

Macht ja eigendlich keinen Unterschied, ist ja nur v15 mit neuem Content. Mit den richtigen Paketen kannste eigenlich jeden Server downen, guck dir mal die Offi Source an, da steht auch viel tolles drinne ;).

03/11/2011 20:31 .Moe�#5

Downen vielleicht.
Aber Itemhacking? oO

- Hab Offi Source nicht und versteh davon kaum was. :P

03/11/2011 20:42 Fullscreen#6

In der Offi Source findest du ein paar Abfragen, durch die du schlussfolgern kannst und Items dupen kannst. Aber wenn der Server keinen AntiHack hat funktionieren die alten Sachen auch wieder.

03/11/2011 20:51 Flyff_Service#7

Item Hacking ist nicht m�glich, sicher dass er nicht einfach eine unbekannte SQLI ausgenutzt hat?

03/11/2011 20:52 .Moe�#8

Quote:

Originally Posted by Flyff_Service

Item Hacking ist nicht m�glich, sicher dass er nicht einfach eine unbekannte SQLI ausgenutzt hat?

Eine was? oo

03/11/2011 20:57 Pumbaaa#9

Sql Injection...
Evtl durch nen unsicheres Register/Ranking System.
Hab aber auch schonmal was von nem Bug in SM geh�rt, wo sowas m�glich sein sollte, wei� aber nich, obs wahr ist.

03/11/2011 21:03 .Moe�#10

Hm Ranking gibt es da & Register nat�rlich auch.

Was hei�t denn "unsicher" bei sowas? oo

03/11/2011 21:03 Flyff_Service#11

Es gibt noch viel mehr SQL Injections in den Files, als die eine beim Charakter l�schen.
Und die Homepage k�nnte auch L�ckenhaft sein, welcher Server ist es denn?

03/11/2011 21:06 .Moe�#12

Ich schick dir eine PM. (nicht �ffentlich)

03/12/2011 04:43 .Crasy#13

Quote:

Originally Posted by Flyff_Service

Item Hacking ist nicht m�glich, sicher dass er nicht einfach eine unbekannte SQLI ausgenutzt hat?

HiHi, ich hab schon die L�sung, f�llt euch eig net auf wenn ihr den Name "Virtuos" lesen tut? :s

Das sind keine "Hacker" wie ihr sie nennt, das sind einfach nur Virtuos seine Backdoors, womit er sich Admin rechte erschaffen tut und ja sch�n lieb Item's erstellt :s

Sowas wie ein "Item Hack" ist ansicht nicht m�glich, m�sste man direkten zugriff auf die Datenbank haben, einzigste was gehen w�rde w�re Dupen �ber Yannick seinen PE, aber dann muss es schon ein sehr sehr mie�er Server sein, sry :)

03/12/2011 04:55 Own55#14

Quote:

Originally Posted by .Crasy

HiHi, ich hab schon die L�sung, f�llt euch eig net auf wenn ihr den Name "Virtuos" lesen tut? :s

Das sind keine "Hacker" wie ihr sie nennt, das sind einfach nur Virtuos seine Backdoors, womit er sich Admin rechte erschaffen tut und ja sch�n lieb Item's erstellt :s

Sowas wie ein "Item Hack" ist ansicht nicht m�glich, m�sste man direkten zugriff auf die Datenbank haben, einzigste was gehen w�rde w�re Dupen �ber Yannick seinen PE, aber dann muss es schon ein sehr sehr mie�er Server sein, sry :)

-------------------------------------------
Virtuos04:52
Da Cross nicht on ist und ich kb hab mich zu registrieren muss ich own nochmal missbrauchen (danke). Also, mit meinen "backdoors" kann man KEINE GM INFORMATION machen (schlicht einen nur mir bekannten ausgetragenen /neuz/ createitem command), vor allem ohne DB eintrag. Ich tippe einfach auf Fileinjections da laut Aussage geshoutet wurde das es durch L�cken der Files gemacht wurde.

03/12/2011 08:02 dennisdra#15

Ja dann soll jemand mal den fix f�r die File Injections posten.

Page 1 of 2