|
You last visited: Today at 15:40
Advertisement
Origins2 Global abused die Lokalen Adminrechte
Discussion on Origins2 Global abused die Lokalen Adminrechte within the Metin2 Private Server forum part of the Metin2 category.
05/06/2020, 12:33
|
#121
|
elite*gold: 0 
Join Date: May 2013
Posts: 51
Received Thanks: 66
|
I dont get the point on scanning the whole disk for m2bob.exe, just check with your stuff ingame for botters or do it with somekind of server side heuristic? Or does the ownership of a knife make you a murderer?  
|
|
|
|
05/06/2020, 12:34
|
#122
|
elite*gold: 0
Join Date: Oct 2012
Posts: 156
Received Thanks: 251
|
Also nach dem überfliegen einiger Posts fällt mir mal auf, dass alle die leute ( herbicoulus und Ch3hp ) laut deren eigenen Aussagen doch gar nix mit dem eigentlichen Thema zu tun haben? Laut eigener Aussage der beiden, haben beide nix mehr mit dem Server zu tun und haben auch mit dem eigentlichen Problem nix am hut, da ihre "Bereiche" ja andere waren. Ich frag mich wieso hier überhaupt noch mit denen disskutiert wird? Eine vernünftige Antwort wird man so oder so nicht bekommen ( zumindest von den beiden ). Das erkennt man ja schon daran, dass hier seit gestern Abend ein großes Video angekündigt wurde, welche alle uneinigkeiten auflösen sollte. Ich sehe bis jetzt nicht viel davon. Je mehr ich mich hier durchlese, desto mehr merkt man das es keine klare Aussage zu diesem Thema seitens des O2 Sa´s geben wird. Wie könnte er dies auch? Wem so viel Dreck angekreidet wird und auch noch "bewiesen" ist, dass dort Dreck am stecken ist wird sich wohl wenig dazu äußern. Im endeffekt ist die Epvp Vorstellung nach mehrfachem druck der Com nunendlich removed und geclosed. Ich denke damit sollte doch vorerst geklärt sein, dass es sich hier nicht nur um Gerüchte handelt und das wird auch kein "beweis Video" von irgend nem Typen ändern, der mal für den Server gearbeitet hat.
|
|
|
|
05/06/2020, 13:22
|
#123
|
elite*gold: 2
Join Date: May 2009
Posts: 3,164
Received Thanks: 1,772
|
Also ich habe jetzt mal über COMODO und Wireshark die 3 'main' IPs des Clients überprüft. Der Server für die Authentifizierung bekommt ca. 66 Byte an Port 45677 überliefert, an Port 30001 ca. 1,1 KB überliefert. Dann sendet der Client 66 Byte an einen Google Server (google cloud?). Der gameserver bekommt 822 Byte überliefert.
Die Server liegen in folgenden Ländern: auth = OVH in France ; patch = OVH in UK ; gameserver in Bucharest (connection telecom, hoster HOSTING SRL)
Was kann man jetzt daraus schließen? Nichts, da man weiß, dass alle genannten Server eben Daten benötigen, man aber nicht sagen kann, ob dazwischen andere Sachen mitgesendet werden. Da das System so exzessiv durchsucht wird, kann ich mir das schon irgendwie vorstellen, aber nicht klar bestätigen.
Also, ich denke, dass CH3HP die Wahrheit sagt, aber er kann eben nur Aussagen, dass seine Firewall nichts böses anstellt. Das glaube ich ihm auch. Das Problem ist, wie sich das Team von Origins2 verhält und wie alles gehandhabt wird. Man weiß nicht, ob die Arbeit von CH3HP als Maske genutzt wird, um anderes Zeug damit zu machen. Finde auch, dass CH3HP bis jetzt der Einzige war, der Beweise geliefert hat und man das ihm positiv anrechnen muss. Leider ist er aber nicht im Team tätig.
Alles in allem muss man sagen, dass die Verbindungen zu den Servern für mich und ich denke auch für alle Anderen, kein Problem sind, wenn der Client nicht so extrem den PC durchsuchen würde. Dann gibt es auch noch die Anschuldigung mit dem Computer Shutdown, dem /f*ck Befehl, das Yang-Verkaufen etc., das kann ich aber natürlich nicht beweisen. Schaut euch gegebene Videos von anderen Nutzern an und versucht eine eigene Meinung zu bilden.
|
|
|
|
|
05/06/2020, 14:39
|
#124
|
elite*gold: 20
Join Date: Mar 2015
Posts: 2,206
Received Thanks: 759
|
Quote:
Originally Posted by AeldraUser1998
Übertreib mal deine Lage nicht. Dein Handy nimmt btw auch Daten für Werbezwecke und Marketing von dir auf. Mach lieber einen Thread gegen Apple. Die deutsche Community ist kein Verlust. Das beweist ihr in dem Thread 1A.
|
digga du kannst doch nicht apple und ne team das aus irgendwelchen 20 jährigen rumänischen skids besteht vergleichen lmao
|
|
|
|
|
05/06/2020, 14:51
|
#125
|
elite*gold: 0
Join Date: May 2013
Posts: 51
Received Thanks: 66
|
Quote:
Originally Posted by Traumhändler
digga du kannst doch nicht apple und ne team das aus irgendwelchen 20 jährigen rumänischen skids besteht vergleichen lmao
|
Und man sollte nicht vergessen, dass Apple Zertifizierungen bestehen muss, permanent in der Öffentlichkeit steht und solche Fauxpas sich nicht erlauben kann, hier wird einfach das Vertrauen zwischen Team/DEV/SA und Spieler als Begründung genutzt, eine unbekannte Datenmenge zu übermitteln, nach einem intensiven Scan- und Überwachungsprozess 
|
|
|
|
|
05/06/2020, 15:33
|
#126
|
elite*gold: 0
Join Date: Nov 2010
Posts: 635
Received Thanks: 461
|
@  Thanks for the Info's so far. At least one person connected to origins with whom you can have a normal conversation.
But like ZeroEpisch already said: It would be nice if finally someone speaks up who has actualy knowledge about this scanning process. (After the Statement from Viper it seems like this won't happen._.)
|
|
|
|
|
05/06/2020, 15:36
|
#127
|
elite*gold: 2
Join Date: May 2009
Posts: 3,164
Received Thanks: 1,772
|
Ich habe mal den vorgestellten Server von @ als weiteres Beispiel genommen.
Client Patcher:
Während der Client geöffnet wird (gar keine Anfragen oder Sendungen):
Wenn man zum gameserver connected:
Kann man sich erklären, da hier wahrscheinlich ein anderes System genutzt wird. Finde ich persönlich aber cleaner.
Dazu werden keine Prozesse gescannt und das registry Lesen/Schreiben beschränkt sich auf Sprache, Systemzeit, I/O, Python usw. also nur essentielle Daten. Keine PCI scans, keine HWID scans etc. pp..
|
|
|
|
|
05/06/2020, 18:16
|
#128
|
elite*gold: 242
Join Date: Mar 2017
Posts: 73
Received Thanks: 74
|
With this last post we want to adress in detail the accusations that we've received in these past days.
Below we will explain everything you need to know about our firewall and anti hack protection, as we've already discussed with the elitepvp team, even if other server partners have already brought up these informations.
Informations regarding our firewall protection:
As explained before:
When you open the client, your client sends packets headers to 1 web server of ours (which uses openresty, 1 version of nginx with lua), after the webserver receives these packets headers, it sends them to the firewall, and the firewall evaluates whether it is 1 bot or not, if not 1 bot, the IP is allowed to access the Origins TCP Ports.
So, here is the evidence that no one can connect to the server without doing that process first:
-
30001 auth port:
Print of it:
Reply: Connection Timed out
-
30003 CH1 Port:
Print of it:
Reply: Connection Timed out
-
You can see on top, that if you don't open the client, you don't connect to the server, since it doesn't get validated by the firewall.
Now here you have all packets evidences on the client <=> webserver connection
Capting all packets: (We didn't show HTTP Packets on gif because there is some webserver security we need to hide, but you can see them in the print bellow)
Explaining packets:
If you still don't believe us, the first steps are TCP 3 Way Handshake process:
If you don't want to open the link:
Same for the HTTP POST Steps:
If you don't want to open the link:
Now that we can see that ALL SYN,ACK.FIN packets are legit, lets see, what can we find inside the HTTP Packets?
Here is what there is inside the HTTP Packets:
As you see the headers are only sending an User Agent, to a host, we hid the Host and User Agent due to security as you may know.
If you don't know what an User Agent is: https://en.wikipedia.org/wiki/User_agent
-
Gif of everything happening:
-
Informations regarding our anti hack protection:
<--- In this image you can see what our protection is checking
You can see in Process Monitor another PID, not the one from the video because it was another client opened before with that PID. Just use pause button to see that it's the same, just the name changed.
We hope that you will find these informations sufficient and to understand that we have never and would never do anything that could harm you, regardless of what others might want to insinuate.
We would lastly like to apologize to all the players that might have been scared because of these accusations, but we would never do such a thing. The copying and usage of certain files without the consent or knowledge of the owner will certainly have serious repercussions. We are only trying to protect our client as we know best.
This will be our last message on this regard as the topic has switched to matters which have nothing to do with our protection with affirmations which seem to have the pure intent of offending.
Best regards,
Origins2 Team
|
|
|
|
|
05/06/2020, 18:33
|
#129
|
elite*gold: 50
Join Date: Jan 2012
Posts: 777
Received Thanks: 1,029
|
Quote:
Originally Posted by .Wanted
Ich habe mal den vorgestellten Server von @ als weiteres Beispiel genommen.
Client Patcher:
Während der Client geöffnet wird (gar keine Anfragen oder Sendungen):
Wenn man zum gameserver connected:
Kann man sich erklären, da hier wahrscheinlich ein anderes System genutzt wird. Finde ich persönlich aber cleaner.
Dazu werden keine Prozesse gescannt und das registry Lesen/Schreiben beschränkt sich auf Sprache, Systemzeit, I/O, Python usw. also nur essentielle Daten. Keine PCI scans, keine HWID scans etc. pp.. |
Hey there,
als @ mich diesbezüglich fragte wusste ich zwar nicht, dass es sich dabei um eine Frage handelt um hierfür ein Argument hervor zu bringen, jedoch kann ich auch gerne hier noch ein mal erwähnen;
wir scannen weder die HWID noch irgendetwas anderes aus und haben auch sonnst keinerlei kram implementiert, so ein eingriff in die Privatsphäre ist für uns ein striktes Tabu, wir haben nicht mal Logs für die Ingame PN's welches nicht einmal Zugriff auf euren PC benötigen würde. Wer also behauptet sowas wäre nötig... wieso kommen wir dann seit 11 Jahren ohne aus?
Ich bin nicht all zu belesen was das Thema Origins2 angeht, noch weiß ich viel darüber wie die Situation hier ist, jedoch weiß ich das man all solchen kram definitiv nicht benötigt.
Was nicht bedeutet das nicht 99% der Server dies so machen würden.
|
|
|
|
|
05/06/2020, 18:53
|
#130
|
elite*gold: 20
Join Date: Mar 2015
Posts: 2,206
Received Thanks: 759
|
Quote:
Originally Posted by Heroblood
Und man sollte nicht vergessen, dass Apple Zertifizierungen bestehen muss, permanent in der Öffentlichkeit steht und solche Fauxpas sich nicht erlauben kann, hier wird einfach das Vertrauen zwischen Team/DEV/SA und Spieler als Begründung genutzt, eine unbekannte Datenmenge zu übermitteln, nach einem intensiven Scan- und Überwachungsprozess |
ja ich mein apple wird safe auch daten verscherbeln so aber die haben sich halt besser abgesichert als die scriptkiddys da.
|
|
|
|
|
05/06/2020, 20:01
|
#131
|
elite*gold: 0
Join Date: Aug 2014
Posts: 84
Received Thanks: 41
|
https://www.directupload.net/file/d/5811/4pjlhfe5_jpg.htm
Hat jemand eine Alternative zu den Server wollte den eigentlich Anfangen...
|
|
|
|
|
05/06/2020, 20:05
|
#132
|
elite*gold: 0
Join Date: Jun 2009
Posts: 6
Received Thanks: 2
|
Quote:
Originally Posted by Traumhändler
ja ich mein apple wird safe auch daten verscherbeln so aber die haben sich halt besser abgesichert als die scriptkiddys da.
|
Hallo, dass was du da von dir gibst ist absoluter schwachsinn.
Natürlich sammelt Apple sowie andere Firmen Daten die dann für Marketing Zwecke weitergegeben bzw. verarbeitet werden.
Hierbei handelt es sich aber um einen illegalen Privat Server ohne jegliche Prüfung oder Pflichten. Desweiteren haben wir die Tatsache, dass ein bekannter DDoser am Src der Binary Hand angelegt hat, da lässt sich zu 80% sagen, dass eine Hintertür eingebaut wurde, sodass die User ein Vic in seinem Botnet sind um die Anzahl der Vics (im Botnet) aufzustocken.
So einen ähnlichen Fall gab es btw. schon einmal, jedoch nur auf den ausländischen Servern (da fast kein Deutscher diese Protection verwendet hatte) der Typ hieß "M2bob fixed, RaFFa, Frankie" er verbaute eine funktionierende M2bob Protection, nebenbei hatte er ebenfalls Malware verbaute, welches Daten der User unverschlüsselt an seinen Cloud Server gesendet hatte.
Wer hier ernsthaft eine Firma (egal wie groß) mit einem illegalen Privat Server vergleicht, wobei noch ein bekannter erpresser / DDoser an der Binary Hand angelegt hat, hat wohl nicht einmal den Hauptschulabschluss im echten Leben bestanden.
Solang keiner den wahren Code kennt, wird es keiner sagen können - Falls das Epvp Team den Code sehen möchte, können sie die Malware auch ganz schnell raus clearen. Das ganze ist einfach zu Suspekt.
|
|
|
|
|
05/06/2020, 20:08
|
#133
|
elite*gold: 0
Join Date: May 2013
Posts: 51
Received Thanks: 66
|
Thank you @ for the POINTLESS repost from one of yours devs 
|
|
|
|
|
05/06/2020, 20:28
|
#134
|
elite*gold: 0
Join Date: Apr 2014
Posts: 289
Received Thanks: 340
|
Quote:
Originally Posted by CyberZeis65
Solang keiner den wahren Code kennt, wird es keiner sagen können - Falls das Epvp Team den Code sehen möchte, können sie die Malware auch ganz schnell raus clearen. Das ganze ist einfach zu Suspekt.
|
epvp mods = malware experten?
|
|
|
|
|
05/06/2020, 20:49
|
#135
|
elite*gold: 2
Join Date: May 2009
Posts: 3,164
Received Thanks: 1,772
|
Quote:
Originally Posted by VyP3r95
With this last post we want to adress in detail the accusations that we've received in these past days.
Below we will explain everything you need to know about our firewall and anti hack protection, as we've already discussed with the elitepvp team, even if other server partners have already brought up these informations.
Informations regarding our firewall protection:
As explained before:
When you open the client, your client sends packets headers to 1 web server of ours (which uses openresty, 1 version of nginx with lua), after the webserver receives these packets headers, it sends them to the firewall, and the firewall evaluates whether it is 1 bot or not, if not 1 bot, the IP is allowed to access the Origins TCP Ports.
So, here is the evidence that no one can connect to the server without doing that process first:
-
30001 auth port:
Print of it:
Reply: Connection Timed out
-
30003 CH1 Port:
Print of it:
Reply: Connection Timed out
-
You can see on top, that if you don't open the client, you don't connect to the server, since it doesn't get validated by the firewall.
Now here you have all packets evidences on the client <=> webserver connection
Capting all packets: (We didn't show HTTP Packets on gif because there is some webserver security we need to hide, but you can see them in the print bellow)
Explaining packets:
If you still don't believe us, the first steps are TCP 3 Way Handshake process:
If you don't want to open the link:
Same for the HTTP POST Steps:
If you don't want to open the link:
Now that we can see that ALL SYN,ACK.FIN packets are legit, lets see, what can we find inside the HTTP Packets?
Here is what there is inside the HTTP Packets:
As you see the headers are only sending an User Agent, to a host, we hid the Host and User Agent due to security as you may know.
If you don't know what an User Agent is: https://en.wikipedia.org/wiki/User_agent
-
Gif of everything happening:
-
Informations regarding our anti hack protection:
<--- In this image you can see what our protection is checking
You can see in Process Monitor another PID, not the one from the video because it was another client opened before with that PID. Just use pause button to see that it's the same, just the name changed.
We hope that you will find these informations sufficient and to understand that we have never and would never do anything that could harm you, regardless of what others might want to insinuate.
We would lastly like to apologize to all the players that might have been scared because of these accusations, but we would never do such a thing. The copying and usage of certain files without the consent or knowledge of the owner will certainly have serious repercussions. We are only trying to protect our client as we know best.
This will be our last message on this regard as the topic has switched to matters which have nothing to do with our protection with affirmations which seem to have the pure intent of offending.
Best regards,
Origins2 Team |
I already understood what Ch3HP's system does to recognize a bot. As I already stated, this wasn't my problem at all. I would be okay with it, if only client packets were evaluated. In the video recorded from your anti cheat system developer, I can clearly see, that a scan is done, and data is written and send to your server. It doesn't matter what kind of data you collect, write and send. The client is still intervening with every pc's data. With one single update, the whole client can be turned into a data miner, since the system is already implemented.
You are not a public instance of trust. You are not a certified company, which is tested by multiple professional security companies all year long. As players, they have to take your word for it, that the client will remain clean. That is the problem. If elitepvpers allows you to still promote your server on this platform, while that system is live on your client, trust is lost, in my honest opinion.
Metin2 private servers survived and gained sufficient protection against botters for years, without scanning systems, or implementing any kind of similar system, as well as scanning PCI lanes and HWIDs. Even though you still put all of this effort into trying to keep hackers away, cheats/hacks/bots are still able to function on your server. Why not scoop back, remove the system, so everyone can be at peace, and just improve your server side database on recognizing altered packets from your client, as well as improving the clients own encryption to make injections even more difficult?
I get it, that you are trying to do the right thing, but it's just the wrong way on handling it.
Anyways, I want to thank you for sharing this official statement from your developer team, as well as @ for explaining his system.
|
|
|
|
All times are GMT +2. The time now is 15:40.
|
|
