HLSW Bruteforce Attacke auf Gameserver

ganshat

Hallo!

Seit ein paar Tagen stellen wir Bruteforce Attacken auf unsere 3 Gameserver (Team Fortress Classic) fest. Anscheinend sind die Attacken aber nicht nur auf unsere Server beschränkt, sondern treten vermehrt auf verschiedenen Quake-Engine basierenden Spieleservern auf (CS1.6, Half-Life, TFC etc.).

Was mich jetzt direkt schokiert hat ist, das sich meine IP-Adresse unter den Angreifern befindet. Also habe ich WireShark mal gestartet und danach HLSW (HLSW - Game Server Browser and Administration Tool - Half-Life Serverwatch, ein Programm zum administrieren von Gameservern) - und siehe da, Tonnen komischer Pakete an verschiedene Gameserver (auch welche, die nicht einmal in meiner HLSW Serverliste sind).

Habe HLSW direkt mal neu installiert, hat allerdings nicht geholfen. Ein Freund hat sich auch HLSW installiert um zu sehen ob es bei Ihm die gleichen Probleme auslöst - negativ!

Also vermute ich das irgendein Trojaner oder anderes Schadprogramm auf mein HLSW zugreift und über HLSW versucht RCON Passwörter von Spieleservern zu bruten.

Festgestellt habe ich die Attacken, und das einige von meinem Computer stammen, da wir einen IRC Bot mit den Servern verbunden haben. Dieser gibt fehlgeschlagene rcon_password-Befehl-Versuche im Chat aus:

[16:45:42] <SERVERBot> [SECURiTY ViOLATiON]: Bad Rcon on Server S1. - User ip 93.104.***.**:7130 (MEINE IP)
[16:45:57] <SERVERBot> [SECURiTY ViOLATiON]: Bad Rcon on Server S1. - User ip 78.46.**.***:50002 (DIE EINES FREUNDES)

Zuerst kamen die Angriffe nur von Russischen IP-Addressen, aber verschiedenen, so dachte ich es handelt sich um irgend ein Script-Kid das einfach rumspielt.

Aber paar tage Später taucht auf einmal die IP eines Freundes von mir auf der auch auf den Servern spielt, war leicht festzustellen da der IRC Bot alle IPs und IDs sowie nicknames mitlogged:

[17:35:04] <me> !findip 93.104.***.**
[17:35:05] <kickassbot> Found: 93.104.160.30=(1)FIREFLY, FIREFLYYYYYH

Und seit heute passiert das gleiche mit meiner IP.

Also hab ich erstmal WireShark gestarted, dann HLSW angemacht. Was ich sofort feststellen konnte ist:

1. Sobald HLSW gestartet ist gehen UNMENGEN and Pakete pro Sekunde an verschiedene Gameserver (mein HLSW versucht irgendwelche zufälligen Gameserver rcon-Passwörter zu bruten)
2. Wenn ich einen unserer Server in HLSW markiere, dann gibt der Bot sofort die "Security violation"-Nachricht im IRC Channel aus -> der markierte Server in HLSW wird attackiert

Hab bereits HLSW neuinstalliert, ohne Erfolg. Ergo muss irgendein anderes Programm auf mein HLSW zugreiffen (ein Trojaner) und die Attacken durch HLSW starten/steuern.

Gibt es bereits mehr Informationen zu solchen Attacken? Wie finde ich heraus welches Programm die Attacken auslöst?

Habe meine System (Windows7 x64) mit Avira und SS&D gescannt, keine Funde.
Auch hab ich in letzter Zeit nicht wirklich irgendwelche suspekt aussehende Programme installiert.

Möglich wäre natürlich das ich durch irgendeinen Exploit auf irgendwelchen Websites infiziert wurde, ohne was zu merken.

Über Tipps & Hilfe zum beheben des Problems wäre ich sehr dankbar!


Mfg