Teamspeak gehackt via Link

Mein Teamspeak 3 Server wurde gestern opfer eines Hack
der folgen gelaufen ist

Er hat eine URL gepostet die versteckt in einer anderen URL war
hab auf dem Link geklickt und dann hatte der Typ auf einmal alle Rechte die ich hatte den Server klein gemacht und alles gelöscht

Ich frage mich A. wie geht das und B. welche Gegenmaßnahmen sollte ich unternehmen

Hab mir bereichst ne neue Identität erstellt und die Rechte von dem alten Entfernt

Was dazu kommt ist das der User der das gemacht hatte noch irgendwelche Icons hatte die ich garnicht auf dem Server habe wie kommt das?

Kannst du mir die URL mal schicken (bitte nicht hier posten)?
Eventuell ist er in TS noch unter Extras -> Gesammeltes URLs gespeichert.

Mir pls. Auch mal in einer DM würde mir das gerne mal anschauen 🤣

Danke für den link erstmal.

Der fuchs chickt via XMLREquest (ajax oder?) requests an deinen Server

function cMultiToolCreator() {
var cMultiTool = new XMLHttpRequest();
cMultiTool.open('POST', 'http://127.0.0.1:25639', true);
cMultiTool.onreadystatechange = function() {
return true
};
cMultiTool.send("servergroupaddclient sgid=46 cldbid=3712" + "\n")
}

servergroupaddclient sgid=46 cldbid=3712

Das addet wohl ihn zur gruppe 46 (admins?)


//Um einen erneuten angriff vorzubeugen:
1. Öffne niemals dort links/dateien wo dein Server hostet.
2. Änder default werte (wie z.b der Port 25639 usw) dann schafft so ein script es nicht sich zu verbinden.

Ah danke für die Hilfe :D

aber ne GID 46 gibt es bei uns im TS garnicht

Sicher? Die Zahl scheint mir nicht zufällig gewählt worden zu sein. In einem anderen Script verwenden sie die 6404 als ID. Standard ist das zumindest nicht.

mmh komisch
aber da reichen meine Kenntnisse nicht aus um da genauer drauf eingehen zu können

Kann auch sein das es der denjenige der Gebannt wurden ist bzw mal Admin bei uns wahr zusammenhängt


also wenn du dafür mehr infomationen brauchst kann ich dir anbieten das wir uns mal im TS treffen oder so wäre glaub besser dafür

Ist der Server selbst gehostet oder hast du nur den ServerAdmin? Wenn du noch den ServerQuery Admin hast, dann kannst du ja für die normalen Server Admins die Berechtigung entfernen einem anderen User eine Gruppe zuzuweisen bzw. die Berechtigung entfernen, benutzerspezifische Berechtigungen zu vegeben.. dann bist du definitiv safe. Außerdem wäre es sinnvoll den Quer-Port nur zugänglich zu machen, wenn man von intern connectet, dann müsstest du das über einen SSH-Tunnel machen.

Sowas geht nur, wenn der server nachlässig eingestellt ist.
Benutzer, die rechte verlieren, sollten auch kontroliert werden, ob am client rechte vergeben sind. Wird gerne vergessen. Oder rechte an channels koppeln. Wer dann dort drin ist, hat bestimmte rechte.

Das Skript hat so gearbeitet das es sich als mich ausgegeben hat und den Angreifer zum Server Admin gemacht hat da der Angreifer anscheiden die ID wusste kann es nur ein Ex Admin gewesen sein

da spielt es keine Rolle ob ich nun File Rechte für den Server hab oder nicht er hat einfach meine normalen Adminrechte dazu verwenden sich in die Gruppe zu adden

PS: ich muss dazu sagen das ich es so erklärt bekommen habe

Quote:

Originally Posted by Draygh Das Skript hat so gearbeitet das es sich als mich ausgegeben hat und den Angreifer zum Server Admin gemacht hat da der Angreifer anscheiden die ID wusste kann es nur ein Ex Admin gewesen sein da spielt es keine Rolle ob ich nun File Rechte für den Server hab oder nicht er hat einfach meine normalen Adminrechte dazu verwenden sich in die Gruppe zu adden PS: ich muss dazu sagen das ich es so erklärt bekommen habe

Aber wie bereits erwähnt, wenn du die Rechte so anpasst, dass du keinem anderen User eine Gruppe oder spezifische Benutzerrechte zuweisen kannst, dann wird das nicht passieren.

Stimmt schon aber es ist einfach bequemer und man denk an sowas garnicht xd
aber immerhin ein hoh auf das Backup xd


Das Problem ist aber auch das es da passiert ist wo man kein QueryAdmin oder sowas hat