Night Brest || Интерактивная динамическая игра с элементами логики и риска.: Администратор

NB53 "КАКБЭ ИГРА"

Следствие вели...

Сегодня я хочу рассказать вам одну охуительную историю.

Начнём мы с уровня номер 3, ностальгический. Было решено обыграть задание на 4 форту, которое когда-то было на игре "Antropos, epta". По весьма интересному, а может быть даже и не случайному стечению обстоятельств в задании был косяк авторов. По ИЗНАЧАЛЬНОЙ задумке жестами флажковой азбуки должно было быть загадано дякуйбожешоТУТнеантропос, но вот это тут было утеряно на этапе подготовки и осталось только ДЯКУЙБОЖЕШОНЕАНТРОПОС. Поскольку пропажа была обнаружена уже после игры, то в движке проходил код (дякуйбожешоТУТнеантропос) который команды физически не могли собрать.

Во время проверки и пересчётов выяснилось, что одна команда со второй попытки вбила в движок код, который был в движке, но не мог быть собран в поле и всё это за 13 минут.

В такие совпадения никто не верит, начали подозревать утечку сценария, но никто не признался. Поэтому было решено смотреть логи доступа к движку. И тут нашлось интересное.

Просматривая запросы к движку было обнаружено, что кто-то через админку смотрел сценарий ( запрос /agt.php?scen ) 18 мая в районе 10 20 утра по белорусскому времени:

Тут можно увидеть мой польский IP 178.235.185.120 ( инфо)и спустя пару минут запросы от злоумышленника с IP 178.120.102.32 (инфо ). Доступ к движку у остальных оргов по сути появился только в пятницу в 12 55. Поэтому никто из них физически не мог зайти в админку.

Забавный факт, в сценарии на тот момент не было ещё ничего, висели только подсказки с прошлой штурмовой игры про котиков, которые были залиты для освежения памяти как это вообще работает. Организиторам не было никакого дела до содержимого сценария в движке.

Вечером того же дня, 18 мая кто-то опять заходил в админку посмотреть сценарий и опять там ничего не нашёл. Вот только в 20 15 я ехал в автобусе в Брест и не брал ноутбук в руки уже до утра. Тут мы видим новый IP - 178.120.58.98, он нам тоже пригодится попозже.

Примерно на данном этапе было выяснено, что пароль от FTP с движком в неизменном виде находился у одной команды. Пазл начал складываться.

Ну так вот. 19 мая с уже знакомого нам адреса 178.120.58.98 был вход в админку, просмотрена страница с заданиями и сценарием. На тот момент там всё ещё ничего не было полезного.

А уже вечером, перед самым началом игры объявился товарищ с адресом 178.120.102.32 и стал посматривать сценарий и подсказки для штурмового уровня

Небольшое пояснение:
адрес /agt.php?tasks=3 - отображает задания для уровня с ID=3, на этой игре 3 был уровень со всеми штурмовыми заданиями.
адрес /agt.php?tasks=3&hints - отображает все подсказки для 3 уровня, т.е. для штурма.
адрес /agt.php?tasks=3&hints=300 отображает детали подсказки с ID=300, как будет видно ниже было несколько таких конкретных запросов.
Эти адреса доступны только для админов, команды ничего не могут увидеть, даже если знают адрес.

Примерно в 23 00 был последний просмотр кодюль и через 9 минут уровень у команды закрылся.
А теперь давайте посмотрим, может кто-то с таким же IP адресом логинился в игру под логином какой-то команды?

И у нас получилось 2 совпадения, с одной и той же командой team76.

Как было упомянуто выше, у команды Под Покровом Ночи был пароль доступа к FTP движка с прошлой игры, поэтому считаю необходимым привести логи доступа по этому логину и паролю.

May 15 12:30:55 by117 pure-ftpd: (?@178.120.162.151) [INFO] ftp_agt is now logged in
May 15 12:46:12 by117 pure-ftpd: (ftp_agt@178.120.162.151) [INFO] Timeout - try typing a little faster next time
May 16 08:23:31 by117 pure-ftpd: (?@178.120.162.151) [INFO] ftp_agt is now logged in
May 16 08:23:48 by117 pure-ftpd: (ftp_agt@178.120.162.151) [NOTICE] /home/user2084466/www/agt.nightbrest.info//login.php downloaded (2427 bytes, 44779.24KB/sec)
May 16 08:41:59 by117 pure-ftpd: (ftp_agt@178.120.162.151) [INFO] Timeout - try typing a little faster next time
May 18 08:03:17 by117 pure-ftpd: (?@178.120.102.32) [INFO] ftp_agt is now logged in
May 18 08:18:23 by117 pure-ftpd: (ftp_agt@178.120.102.32) [INFO] Timeout - try typing a little faster next time
May 18 19:12:26 by117 pure-ftpd: (?@178.120.58.98) [INFO] ftp_agt is now logged in
May 18 19:13:19 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/5_1kjh32.jpg downloaded (44313 bytes, 382924.15KB/sec)
May 18 19:13:20 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/5_2kdsdsjh.jpg downloaded (73763 bytes, 2767.57KB/sec)
May 18 19:13:20 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/5_3kjhdsds.jpg downloaded (248669 bytes, 2381.89KB/sec)
May 18 19:13:20 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/5_4kfdsdjh.jpg downloaded (67920 bytes, 3339.78KB/sec)
May 18 19:13:20 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/5_5kjhdsdds.jpg downloaded (99254 bytes, 3279.80KB/sec)
May 18 19:13:20 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/5_6kjsdh.jpg downloaded (109289 bytes, 2228.88KB/sec)
May 18 19:13:20 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/5_7dsdskjh.jpg downloaded (76410 bytes, 3785.66KB/sec)
May 18 19:13:20 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/5_8kggdfsjh.jpg downloaded (36601 bytes, 509924.14KB/sec)
May 18 19:13:20 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/5_9kjh12dfs.jpg downloaded (54912 bytes, 400212.73KB/sec)
May 18 19:13:20 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka1.jpg downloaded (30574 bytes, 292596.04KB/sec)
May 18 19:13:20 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka10.jpg downloaded (53146 bytes, 370214.31KB/sec)
May 18 19:13:20 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka12.jpg downloaded (37362 bytes, 473791.80KB/sec)
May 18 19:13:21 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka13.jpg downloaded (29900 bytes, 388794.92KB/sec)
May 18 19:13:21 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka14.jpg downloaded (29775 bytes, 309539.09KB/sec)
May 18 19:13:21 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka15.jpg downloaded (46664 bytes, 568856.38KB/sec)
May 18 19:13:21 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka16.jpg downloaded (39162 bytes, 517443.72KB/sec)
May 18 19:13:21 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka17.jpg downloaded (33109 bytes, 346840.06KB/sec)
May 18 19:13:21 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka18.jpg downloaded (35870 bytes, 501445.46KB/sec)
May 18 19:13:21 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka2.jpg downloaded (39219 bytes, 555851.29KB/sec)
May 18 19:13:21 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka3.jpg downloaded (26834 bytes, 391146.14KB/sec)
May 18 19:13:21 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka4.jpg downloaded (111617 bytes, 2096.98KB/sec)
May 18 19:13:21 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka5.jpg downloaded (40976 bytes, 378012.83KB/sec)
May 18 19:13:21 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka6.jpg downloaded (37649 bytes, 489556.52KB/sec)
May 18 19:13:21 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka7.jpg downloaded (23534 bytes, 264096.61KB/sec)
May 18 19:13:21 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka8.jpg downloaded (37303 bytes, 568004.04KB/sec)
May 18 19:13:21 by117 pure-ftpd: (ftp_agt@178.120.58.98) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka9.jpg downloaded (49991 bytes, 626186.96KB/sec)
May 18 19:13:24 by117 pure-ftpd: (ftp_agt@178.120.58.98) [INFO] Logout.
May 18 20:00:20 by117 pure-ftpd: (?@178.120.58.98) [INFO] ftp_agt is now logged in
May 18 20:00:36 by117 pure-ftpd: (ftp_agt@178.120.58.98) [INFO] Logout.
May 18 20:14:17 by117 pure-ftpd: (?@178.120.58.98) [INFO] ftp_agt is now logged in
May 18 20:14:42 by117 pure-ftpd: (ftp_agt@178.120.58.98) [INFO] Logout.
May 18 23:06:06 by117 pure-ftpd: (?@178.120.58.98) [INFO] ftp_agt is now logged in
May 18 23:18:52 by117 pure-ftpd: (ftp_agt@178.120.58.98) [INFO] Logout.
May 19 08:22:29 by117 pure-ftpd: (?@178.120.58.98) [INFO] ftp_agt is now logged in
May 19 08:22:51 by117 pure-ftpd: (ftp_agt@178.120.58.98) [INFO] Logout.
May 19 14:58:15 by117 pure-ftpd: (?@178.120.102.32) [INFO] ftp_agt is now logged in
May 19 14:58:36 by117 pure-ftpd: (ftp_agt@178.120.102.32) [NOTICE] /home/user2084466/www/agt.nightbrest.info//logins.log downloaded (1872577 bytes, 20591.69KB/sec)
May 19 15:00:56 by117 pure-ftpd: (ftp_agt@178.120.102.32) [NOTICE] /home/user2084466/www/agt.nightbrest.info//login.php downloaded (2427 bytes, 44779.24KB/sec)
May 19 15:01:38 by117 pure-ftpd: (ftp_agt@178.120.102.32) [NOTICE] /home/user2084466/www/agt.nightbrest.info//logins.log downloaded (1872577 bytes, 26510.42KB/sec)
May 19 15:02:36 by117 pure-ftpd: (ftp_agt@178.120.102.32) [NOTICE] /home/user2084466/www/agt.nightbrest.info//HowTo.docx downloaded (818059 bytes, 5352.70KB/sec)
May 19 15:03:53 by117 pure-ftpd: (ftp_agt@178.120.102.32) [INFO] Logout.
May 19 19:28:25 by117 pure-ftpd: (?@178.120.102.32) [INFO] ftp_agt is now logged in
May 19 19:28:35 by117 pure-ftpd: (ftp_agt@178.120.102.32) [NOTICE] /home/user2084466/www/agt.nightbrest.info//login.php downloaded (2427 bytes, 49457.67KB/sec)
May 19 19:29:01 by117 pure-ftpd: (ftp_agt@178.120.102.32) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/13_3_hdjkfhds.jpg downloaded (457683 bytes, 14030.49KB/sec)
May 19 19:29:21 by117 pure-ftpd: (ftp_agt@178.120.102.32) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka11.jpg downloaded (80300 bytes, 5244.67KB/sec)
May 19 19:29:26 by117 pure-ftpd: (ftp_agt@178.120.102.32) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka11.jpg downloaded (80300 bytes, 5129.98KB/sec)
May 19 19:29:51 by117 pure-ftpd: (ftp_agt@178.120.102.32) [NOTICE] /home/user2084466/www/agt.nightbrest.info//53NB/loka11.jpg downloaded (80300 bytes, 3281.51KB/sec)
May 19 19:30:07 by117 pure-ftpd: (ftp_agt@178.120.102.32) [INFO] Logout.

Тут мы видим уже известные нам IP-адреса, видим, что фотографии доездов были скачаны за день до начала игры. Совести не видим. Дело закрыто.