Mário. 154 Posted January 6, 2018 (edited) Olá, Antes de mais, quero-vos desejar um bom ano 2018, que seja verdadeiramente o ano em que consigam concluir os vossos objetivos e acima de tu, muita felicidade. Depois, este tópico não foi criado para fazer de vítima nem nada do género, o erro foi totalmente meu, apenas venho avisar (ou reafirmar, como bem preferirem) que o KB não é de confiança. Vou fazendo o tópico por fases de forma a entenderem o que realmente aconteceu. Conheço o Tiago (KB aka ραรтσя αlємãσ aka TMS Services) já a algum tempo por um amigo em comum. Sempre soube quem era o rapaz e o que tinha feito no passado, mas como eu tenho um carácter ingénuo, acredito que as pessoas mudam e com isso dei-lhe uma oportunidade enquanto pessoa, amigo. Antes de abrir um dos meus servidores, ajudava-o com tudo visto que tinha tempo para tal. Fizemos um acordo que consistia em lhe ajudar no que fosse preciso e em troca fazia as proteções para o site. Conhecimento Eu acredito na ideia de partilha de conhecimento, de ideias e de projetos. Ninguém nasce ensinado, porque aquilo que é fácil para mim pode ser difícil para outro. É com este pensamento na cabeça que não gozo nem respondo mal a dúvidas que sejam tão básicas para mim. Eu de PHP sou 0, é triste de se dizer mas é verdade. O meu objetivo para 2018 é aprender laravel, java e php (a ver se consigo aprender pelo menos o básico). Como o Tiago tinha esse conhecimento, decidi depositar um voto de confiança - pior coisa que alguma vez fiz em toda a minha vida. Ao dar-lhe os acessos (somente ao do site, ele nunca teve acesso a base de dados em si, tanto que se forem ver o leak, não está no formato original), ele decidiu meter 4/5 shells de forma a conseguir controlar as coisas sem que eu soubesse. Eu, sendo o mais ignorante e ingénuo possível, não suspeitei sequer dele, achava que ele tinha mudado (palavra-chave: achava). Ao abrir o servidor, não tive nenhum problema sério de resolver até receber uma mensagem a dizer se havia possibilidade de alguém ter posto 500 euros de IS visto que estavam a vender mais que 10 vouchers de 1000 moedas. Ora, ao ver isso, fui falar com o rapaz que estava com essa conta e ele diz-me que deu uma conta inteira de IS no GalaxyMT2 pela conta criada no LSM2. Essa mesma pessoa cria um grupo comigo e com o Tiago (era amigo dele, quem diria) e pede nele para dar SQL Injection de forma a desbanir, visto que bani (é errado deixar uma conta com tanto valor sem ter recebido do mesmo andar por aí, independentemente da troca). Consegui o skype da pessoa que tinha vendido a conta e era o Tiago! Ele agiu como se fosse uma nova segunda identidade e como tinha as shells postas, conseguia alterar o valor da tabela coins, onde se situa o valor em moedas de dragão. Na altura eu não sabia que era ele, e como na altura não desconfiava minimamente dele e também por ter feito as tais "proteções", fui-lhe pedir ajuda e pediu-me 25 euros para resolver isso, ou seja, paguei para ele proteger contra ele mesmo (sem que eu tivesse conhecimento visto que não sabia na altura) e aproveitou foi para meter mais shells do que resolver. Jurou por tudo que não era ele mas a mentira tem perna curta, acaba-se sempre por saber independentemente do tempo que possa demorar. Ele usou essa segunda identidade para vender vouchers dentro do meu próprio servidor, a ver a tamanha estupidez da criança (conseguiu ser mais retardado que eu por lhe ter confiado). Apesar de ser ingénuo, sou calculista, levo a expressão "mantém os teus inimigos o mais próximo possível" a peito, sendo que continuei a falar com o rapaz como se nada tivesse acontecido porque sabia que mais tarde ou mais cedo, iria acabar por ter o meu retorno. Infelizmente a criança ficou chateada por não lhe ter dado o que ele queria (a minha quest inicial e a dos professores) e decidiu mandar leak do dia 31/12/2017 com 1466 contas quando neste momento temos acima de 1800. LSM2 Penso que apesar de não andar muito por aqui, nota-se que sou uma pessoa bastante humilde e com carácter, ajudo sempre que for preciso e as pessoas próximas sabem que gosto de ter uma coisa bem trabalhada. O projeto não é algo caído do céu, não começamos há dois meses atrás nem temos falta de experiência. É verdade sim senhora que podemos não saber X ou Y mas a vontade de aprender é algo está sempre presente connosco. Não fiz isto com o objetivo de ter dinheiro, de ser reconhecido ou de viver à base disto. Felizmente, tenho conhecimentos o suficiente para ser convidado a vários projetos, e para os que têm uma ideia errada de mim, não sou nem nunca fui o tipo de pessoa de desistir. As pessoas erram e o meu erro foi ter confiado numa pessoa que vira as coisas ao seu favor, mas isso falarei daqui a pouco. Mais uma vez, peço imensa desculpa a comunidade por tamanha ignorância, são erros que farão crescer enquanto ser-humano. Pastor Alemão O Tiago está em vias de abrir um servidor chamado Symbolic2. Até aqui tudo bem, cada um tem o direito de abrir o que quiser, mas notem no seguinte detalhe: A enterpage dele é exatamente igual a do nosso projeto Não estou a dizer que fomos nós que criamos a nossa até porque isto está pública na internet, mas sendo ele que supostamente entende bem de php e de java, não poderia fazer um do 0 invés de usar o nosso? "Tu não podes jogar verdade ou consequência, o máximo que podes jogar é biter ou coicidência" Não sei se ele vai abrir com o mesmo nome ou com outro por ter dado a conhecer ao público o seu site, mas vocês saberão pela forma que ele é (exatamente igual ao metin2vw, que também o pertencia) e pela falta de esforço que lá foi/é/será depositado. Conclusão Mais uma vez, admito o erro que fiz, admito o erro que fiz, não tenho tido descanso desde que um dos nossos servidores abriu e isto só acabou por complicar ainda mais (não estou a falar no sentido crítico, adoro o que faço). Mais uma vez, o leak foi feito no dia 31/12/2017 sendo que somente 1466 contas foram postas em risco (na verdade, apenas 1/3 dessas contas estão em alarme visto que desde cedo dissemos à comunidade para mudar a palavra-passe pelo menos 2x por mês) quando na realidade temos 1823. Conclusão: Pastor Alemão não mudou nem nunca irá mudar. Avisem a quem vocês quiserem, se ele vos pedir a mínima coisa, não hesitem e digam que ou não sabem fazer ou não têm tempo. Se perguntarem o porquê, mostrem-lhes este tópico. Desculpa pela milésima vez e obrigado, Mário. Podem fechar o tópico. Edited January 6, 2018 by Mário. (see edit history) 6 Frotaz, morfo2, .тιαgσ and 3 others reacted to this Share this post Link to post Share on other sites
.тιαgσ 624 Posted January 6, 2018 Ele nunca irá aprender, sempre me disseram que burro velho não aprende linguas. Ao menos admites o teu erro, há quem não o faça 1 Hellblazer reacted to this Share this post Link to post Share on other sites
p0w3r0ff 3,791 Posted January 7, 2018 Eu sei que eu tenho um jeito meio bruto dizer o que penso o que pode magoar e ofender. intenção não é essa mas cada um tem o seu jeito. Levar scam do pastor em 2018 é preciso ser muito estúpido, O gajo nunca soube programar nem tão pouco proteger um site e tu acreditas nas historias dele? mínimo que podias fazer era recolher feedback da pessoa em questão ou mais simples, basta pesquisar palavra pastor para ver os milhares de tópicos que temos por ai sobre o gajo. Nesta vida aprendemos com os erros, acho que aprendeste da pior maneira deves um pedido desculpas cada jogador. Podes ser uma pessoa muito humilde e por ai fora não te conheço não sou ninguém para julgar ou criticar mas acho que és uma pessoa incoerente só fizeste este tópico porque alguém partilhou as contas e não soubeste assumir responsabilidade pelos teus erros desde o inicio agora é só blablablablabla. Aviso aos jogadores de LSM2 Foram expostas 1466 contas do servidor, com o e-mail, senha em texto plano e id das mesmas. Caso alguma conta seja a vossa, devem trocar a vossa senha o mais cedo possível, para evitar que sejam roubados. Caso usem a mesma senha noutros locais da internet, devem trocar as senhas nos mesmos. Podes gerar uma senha aleatória e segura em: http://icyber.me/senha.html 2 morfo2 and Hellblazer reacted to this Share this post Link to post Share on other sites
Mário. 154 Posted January 7, 2018 11 minutos atrás, p0w3r0ff disse: Eu sei que eu tenho um jeito meio bruto dizer o que penso o que pode magoar e ofender. intenção não é essa mas cada um tem o seu jeito. Levar scam do pastor em 2018 é preciso ser muito estúpido, O gajo nunca soube programar nem tão pouco proteger um site e tu acreditas nas historias dele? mínimo que podias fazer era recolher feedback da pessoa em questão ou mais simples, basta pesquisar palavra pastor para ver os milhares de tópicos que temos por ai sobre o gajo. Nesta vida aprendemos com os erros, acho que aprendeste da pior maneira deves um pedido desculpas cada jogador. Podes ser uma pessoa muito humilde e por ai fora não te conheço não sou ninguém para julgar ou criticar mas acho que és uma pessoa incoerente só fizeste este tópico porque alguém partilhou as contas e não soubeste assumir responsabilidade pelos teus erros desde o inicio agora é só blablablablabla. Aviso aos jogadores de LSM2 Foram expostas 1466 contas do servidor, com o e-mail, senha em texto plano e id das mesmas. Caso alguma conta seja a vossa, devem trocar a vossa senha o mais cedo possível, para evitar que sejam roubados. Caso usem a mesma senha noutros locais da internet, devem trocar as senhas nos mesmos. Podes gerar uma senha aleatória e segura em: http://icyber.me/senha.html Sim, isso é totalmente verdade, foi preciso ser mesmo muito estúpido para isso, mas pronto, é a vida e aprendi do pior jeito possível. Não estou a ser incoerente, como é que iria assumir a responsabilidade de algo que não tinha conhecimento? Mal soube das shells, mudei todas as passwords do servidor e avisei constantemente, seja site, fórum, facebook e até no jogo para mudarem a palavra-passe. Já me desculpei e voltarei a desculpar as vezes que forem precisas, nem que tenha que dar uma desculpa pessoal a cada um dos jogadores. Este mesmo tópico foi criado no fórum, não foi só aqui. Os textos não estão em plano e sim encriptadas em md5, coisa estúpida da minha parte saltear as pws ainda com essa encriptação. São com os erros que se aprende, e acredita que aprendi fortemente a minha lição. Share this post Link to post Share on other sites
p0w3r0ff 3,791 Posted January 7, 2018 30 minutos atrás, Mário. disse: Sim, isso é totalmente verdade, foi preciso ser mesmo muito estúpido para isso, mas pronto, é a vida e aprendi do pior jeito possível. Não estou a ser incoerente, como é que iria assumir a responsabilidade de algo que não tinha conhecimento? Mal soube das shells, mudei todas as passwords do servidor e avisei constantemente, seja site, fórum, facebook e até no jogo para mudarem a palavra-passe. Já me desculpei e voltarei a desculpar as vezes que forem precisas, nem que tenha que dar uma desculpa pessoal a cada um dos jogadores. Este mesmo tópico foi criado no fórum, não foi só aqui. Os textos não estão em plano e sim encriptadas em md5, coisa estúpida da minha parte saltear as pws ainda com essa encriptação. São com os erros que se aprende, e acredita que aprendi fortemente a minha lição. Se fizeste o aviso aos players tens meu respeito e retiro o que disse. Quando quiseres umas dicas para proteger o site avisa estou aqui para ajudar. Primeira dica vai custar 25 euros; Algumas funções do PHP podem ser extremamente “perigosas” se não utilizadas adequadamente, e em grande parte das vezes podem ser desabilitadas sem prejuízo nenhum. A opção para desabilitá-las se encontra no arquivo php.ini (normalmente em /etc/php.ini). depois disso podes instalar varias camadas de proteção por exemplo mod_security e o fail2ban .. Outro passo muito importante é desactivar o acesso root no mysql e não permitir o acesso com clientes tipo navicat vai ser chato para mexer na base dados porque tens de fazer tudo pelo putty com comandos mas longo prazo compensa. PS; Textos plano ou encriptadas em md5 é mesma coisa. 1 1 Mário. and Witness reacted to this Share this post Link to post Share on other sites
nagatto 2,130 Posted January 7, 2018 Amigo @Mário. já te conheço alguns anos, por assim dizer, Como se costuma dizer: Á primeira cai quem é burro, á segunda cai quem quer, o que quero dizer com isto é, ainda foste a tempo (e ainda bem) de conseguir dar outro rumo as coisas e claro que fica bem mostrar a humildade de um administrador do servidor, neste caso tu. Á próxima já sabes amigo, há por aí mais pessoal que é capaz de trabalhar e n€cessita de mais money e faz-te isso melhor se for preciso. Cumprimentos. 2 morfo2 and Dynamic Things reacted to this Share this post Link to post Share on other sites
P0l1C3 4 Posted January 7, 2018 Boas Mário, Não desistas ao primeiro obstáculo, foi muito pouco profissional recorreres ao primeiro que te apareceu a frente. Este tópico apenas difama o membro em questão, não estou a falar mal de ti atenção.Sempre ouvi dizer que existem sempre 3 historias, a tua, a dele e a verdadeira.Apenas fica-te feio difamar por teres sido "enganado" como aparentas ter sido e tentares estragar um projecto ainda não aberto.Continuação de bom trabalho,Cumprimentos Share this post Link to post Share on other sites
Snooke 87 Posted January 7, 2018 (edited) 47 minutos atrás, P0l1C3 disse: Boas Mário, Não desistas ao primeiro obstáculo, foi muito pouco profissional recorreres ao primeiro que te apareceu a frente. Este tópico apenas difama o membro em questão, não estou a falar mal de ti atenção.Sempre ouvi dizer que existem sempre 3 historias, a tua, a dele e a verdadeira.Apenas fica-te feio difamar por teres sido "enganado" como aparentas ter sido e tentares estragar um projecto ainda não aberto.Continuação de bom trabalho,Cumprimentos Se conhecesses o Pastor Alemão, não dizias isto "Este tópico apenas difama o membro em questão..." ou "Apenas fica-te feio difamar...". Há anos que se sabe que ele não é de confiança :# A não ser que tu sejas ele em mais uma fake account :| Edited January 7, 2018 by мστσкσ (see edit history) Share this post Link to post Share on other sites
P0l1C3 4 Posted January 7, 2018 5 minutos atrás, мστσкσ disse: Se conhecesses o Pastor Alemão, não dizias isto "Este tópico apenas difama o membro em questão..." ou "Apenas fica-te feio difamar...". Há anos que se sabe que ele não é de confiança :# A não ser que tu sejas ele em mais uma fake account :| Por acaso conheço e sou amigo dele a anos, assim como muitas figuras de destaque da comunidade de mt2 portuguesa. Ele nunca me falhou como assim eu também nunca lhe falhei. "FAMA" não lhe falta, proveito falta e muito. Este membro está-se a fazer de coitadinho, só não vê quem não quer. Share this post Link to post Share on other sites
Snooke 87 Posted January 7, 2018 7 minutos atrás, P0l1C3 disse: Por acaso conheço e sou amigo dele a anos, assim como muitas figuras de destaque da comunidade de mt2 portuguesa. Ele nunca me falhou como assim eu também nunca lhe falhei. "FAMA" não lhe falta, proveito falta e muito. Este membro está-se a fazer de coitadinho, só não vê quem não quer. "Notícia" sai ontem, registaste hoje, com certeza que és ele. Como tu dizes, só não vê quem não quer ^^ Share this post Link to post Share on other sites
P0l1C3 4 Posted January 7, 2018 Agora, мστσкσ disse: "Notícia" sai ontem, registaste hoje, com certeza que és ele. Como tu dizes, só não vê quem não quer ^^ Tens a tua opinião, eu tenho a minha, só me registei hoje por este mesmo motivo não estou para aturar criançada saída do infantário. Share this post Link to post Share on other sites
Cσяvσ⋆ 1,804 Posted January 7, 2018 14 horas atrás, p0w3r0ff disse: PS; Textos plano ou encriptadas em md5 é mesma coisa. Plain Text e MD5 é a mesma coisa? Apenas uma média de 25% de passwords encriptadas em MD5 está presente nas Rainbow Tables, é uma encriptação one way, ou seja, não consegues desencriptar por ti, apenas a comparar strings de passwords em plain text e em md5. PS: Acho é incrível ainda usarem MD5 para encriptar passwords (mesmo que o resto da informação seja igualmente importante), ai concordo completamente contigo, não estamos em 2010 rapaziada... há que utilizar o cérebro. Share this post Link to post Share on other sites
morfo2 4,680 Posted January 7, 2018 3 horas atrás, P0l1C3 disse: Este tópico apenas difama o membro em questão, não estou a falar mal de ti atenção.Sempre ouvi dizer que existem sempre 3 historias, a tua, a dele e a verdadeira.Apenas fica-te feio difamar por teres sido "enganado" como aparentas ter sido e tentares estragar um projecto ainda não aberto. O Pastor Alemão tem uma reputação negativa desde que nasceu. É o pior skid conhecido nas comunidades portuguesas de metin2. Existem centenas de tópicos que comprovam as suas acções. Todos os elites da Tech, Epvp, Hero e metin2dev desaprovam esse nome. Não és tu, um gajo random e completamente desconhecido, que vem dizer que estão a difamar uma escumalha com histórico bem assente. A tua opinião é controversa e vale zero. 1 1 .тιαgσ and 'ŞŦŘƗƗҜ€Ř' reacted to this Share this post Link to post Share on other sites
p0w3r0ff 3,791 Posted January 7, 2018 2 horas atrás, Cσяvσ⋆ disse: Plain Text e MD5 é a mesma coisa? Apenas uma média de 25% de passwords encriptadas em MD5 está presente nas Rainbow Tables, é uma encriptação one way, ou seja, não consegues desencriptar por ti, apenas a comparar strings de passwords em plain text e em md5. PS: Acho é incrível ainda usarem MD5 para encriptar passwords (mesmo que o resto da informação seja igualmente importante), ai concordo completamente contigo, não estamos em 2010 rapaziada... há que utilizar o cérebro. não é mesma coisa mas hoje em dia não é método mais seguro acho que ele percebeu ideia, basta por no google md5 decrypter que consegue se sem muita dificuldade decriptar a pass. Com o md5+salt é capaz de ser mais seguro, usa uma espécie de SALT na tua password por exemplo: $password = md5($password . '=bia-ny1Ds2.dalj8id1') e aí vemos se alguém te descobre as passwords... kkkkkkkk Se conseguem "hackear" a tua base de dados, também devem conseguir decriptar o md5 das passwords. Se não encriptares, estás só a poupar-lhes tempo. Share this post Link to post Share on other sites
Paradox 851 Posted January 7, 2018 4 horas atrás, P0l1C3 disse: Por acaso conheço e sou amigo dele a anos, assim como muitas figuras de destaque da comunidade de mt2 portuguesa. Ele nunca me falhou como assim eu também nunca lhe falhei. "FAMA" não lhe falta, proveito falta e muito. Este membro está-se a fazer de coitadinho, só não vê quem não quer. Um puto com o seu primeiro magalhães consegue facilmente encontrar os cancros do pastor na net... Folgo em saber que és amigo de muitas figuras de destaque da comunidade mt2 portuguesa... também conheço muitos modders da comunidade de sims 2... Não percebi o fim dessa frase Share this post Link to post Share on other sites