Archiv verlassen und diese Seite im Standarddesign anzeigen : Hilfe wurde gehackt
Klammgate
18.01.2009, 13:40
Hi an alle
so wie es aussieht wurde ich gehackt. Auf meiner VMS Seite hat sich ein Albaner angemeldet und ein paar Minuten später hat er 75 mio ausgezahlt und mir damit das EF Konto leergeräumt.
Er hat die Klamm ID 338913
Was kann uns soll ich tun?
Angeschrieben hab ich ihn eben sofort
Lukas Klamm melden , beweise sammeln , Blacklist eintrag .
Weiß du schon woran er die 75 mio erganuert hat ?
Klammgate
18.01.2009, 13:53
habe eben an Klamm geschrieben
Denke mal irgend wie über den Schatzslot. Der Knödel hat nichts eingezahlt
so sieht seine Buchungsliste aus
Buchungs Id Datum Zeit Lose Verwendungszweck
jnhRGLOhSfhvaJ 18.01.2009 12:17 -100.000,00 (Admin)
fMQRDuKZjblHPP 18.01.2009 02:09 -25.000.000,00 Schatz-Slot-Einsatz
htTUAQvDDCJ2nX 18.01.2009 02:08 -25.000.000,00 Auszahlung Klammgate.de
OIgvKe0PeA5eC0 18.01.2009 02:07 -50.000.000,00 Auszahlung Klammgate.de
3W2KIACtAVqFm3 18.01.2009 02:07 0,00 Schatz-Slot-Einsatz
YMvJualRSk86OJ 18.01.2009 02:05 0,00 Schatz-Slot-Einsatz
didith1207
18.01.2009, 14:06
sieht so aus als hättest du dein game noch nicht sicher gemacht gegen minus einsätze und falsche einsätze....
in der schatz_game.php nach :
$einsatz = intval($_POST["einsatz"]);
if ($einsatz < 5000) {
die();
}diesen code einfügen und deine einsätze anpassen! :
if ($einsatz != 5000 && $einsatz != 10000 && $einsatz != 25000 && $einsatz != 50000 && $einsatz != 100000 && $einsatz != 250000) die("&result=Fehlerhafter Einsatz&");
Klammgate
18.01.2009, 14:10
Ich machs sofort
Danke
Bis jetzt noch keine Reaktion von Klamm.de
EarlofMidnight
18.01.2009, 14:18
Hab ihn mir auch eingefangen, er nutzt den Minus Bug von Slots aus.
Komischerweise hat er es geschafft sich bei mir Bonuslose zu generieren.
Gruß
EarlofMidnight
P.S. Albanien steht nur im Klamm Profil, die geloggte IP stammt aus Frankreich aber das muß auch nichts bedeuten.
Klammgate
18.01.2009, 14:18
Irgend wie sieht das bei mir alles anders aus
$einsatz = intval($_POST["einsatz"]);
include("config.php");
include("gewinnlinien.php");
$result=mysql_query("SELECT * FROM ".$db_prefix."_kontodaten WHERE uid='$_SESSION[uid]'");
$row=mysql_fetch_array($result);
if ($row[kontostand] < $einsatz)
{
echo "&result=Zu wenig Lose.&";
}
elseif (strlen($_SESSION["uid"]) > 0)
{
EarlofMidnight
18.01.2009, 14:33
Pack das direkt hier hinter:
$einsatz = intval($_POST["einsatz"]);
Ob das wieder Eukalyptusbar (https://www.klamm.de/forum/member.php?u=31427) ist?
Und hol dir ein Addon, welches die maximale Auszahlung begrenzt pro User/Tag.
Und am besten, bevor man einen Slot kauft, sich vom Verkäufer versichern lassen, dass dieser auch KEINE Bugs/Fehler etc. hat, sollte der Verkäufer das nicht machen können/wollen, würd' ich den auch nicht kaufen.
Leider sind sehr viele im Umlauf, die nicht "sicher" sind, und sogar "teure" Slots sind zum Teil unsicher...
Zur Auszahlung noch:
Oft ist es auch sinnvoll, wenn neue User innerhalb der ersten 48 Stunden nicht auszahlen können:
Da viele Faker halt gleich die Bugs ausnutzen und dann abhauen wollen, und "normale" User:
Warum sollten die schon in den ersten 2 Tagen auszahlen wollen?
Soviel kann man in 2 Tagen nicht erklicken, und wenn sie Lose von Ihrem Werber bekommen oder einfach so von einem anderen User, sind die kaum dafür gedacht,. gleich ausgezahlt zu werden. (Meine Meinung)
didith1207
18.01.2009, 16:58
hurraa nun is er bei mir mal gucken ob er ne lücke findet :rolleyes:
EarlofMidnight
18.01.2009, 17:09
Auf meiner 2 Seiten ist er nun auch aufgetaucht, da hat er allerdings keine Lücke entdeckt.
Gesperrt hab ich ihn trotzdem nachdem er aufgegeben hat, muß mich wohl fürs Testen noch bei ihm bedanken :knueppel:
Die Faker melden sich ja in der Regel an und zocken sofort auf den Seiten ab. Ich hab mir eben mal Gedanken gemacht wie man das ganze etwas verhindern könnte, ein 100%iger Schutz ist natürlich nie gegeben da sie auch das wieder umgehen werden aber hier mal meine Gedanken:
Die validate.php vom EF liefert unter anderem auch das Anmeldedatum des Users auf Klamm aus, hier könnte man die Schnittstelle vom VMS so erweitern:
lib/schnittstellen/klamm.php - ~Zeile 134 Suche:
return $error;(kommt mehrmals vor, das letzte in der Datei)
Füge davor ein:
/* Anmeldesperre für neue User */
$tage = 14;
if ($trans_check[4] >= time()-86400*$tage)
{
$trans_ausgabe = 'Du musst mindestens '.$tage.' Tage auf Klamm angemeldet sein bevor du dich bei uns registrieren kannst.';
$error = "true";
}
/* Anmeldesperre für neue User */Bei der Anmeldung wird nun das Anmeldedatum der User geprüft. Anmelden können sich nur User welche schon $tage Tage bei klamm.de angemelt sind aktuell sind es 14 Tage, aller anderen bekommen eine Fehlermeldung mit dem Hinweis das sie mindestens $tage Tage auf Klamm angemeldet sein müssen.
Das ganze lässt sich natürlich umgehen, die Faker melden sich nun an und fangen in 14 Tagen an zu faken, aber wenn man die Sperre vllt. etwas höher setzt verlieren sie vllt. die Lust solange zu warten und faken lieber bei Seiten ohne einen solchen Schutz :wink: da würde das faken dann erkannt und die User gesperrt.
Bestimmt nicht der beste Schutz, aber schonmal eine kleine Hürde die es zu umgehen gilt.
Achtung: Code ist ungetestet aber sollte funktionieren.
Man könnte auch ganz einfach den direktzugriff auf die jeweilige game.php verweigern. Wäre wohl die einfachste und 100%igste lösung.
hier auch noch so ein kandidat:
https://www.klamm.de/partner/unter_bewertung.php?step=1&directsearch=335787
Man könnte auch ganz einfach den direktzugriff auf die jeweilige game.php verweigern. Wäre wohl die einfachste und 100%igste lösung.
Wie Das?
Wie Das?
Über einen referer check , kann man prüfen ob die datei direckt aufgerufen wurde oder von game bwz anderer datei aus aufgerufen wurde :thumb:
mom ich teste das mal eben und poste hier die möglichkeit
Über einen referer check ...
Den Referrer kann man aber nach Belieben verändern, wäre also auch kein guter Schutz.
Den Referrer kann man aber nach Belieben verändern, wäre also auch kein guter Schutz.
Kein guter Schutz würde ich nicht gleich sagen, denn zum einen muss ja erstmal wissen das man überhaupt Refferer verändern muss und als zweites kann man gleich eine Sperrung in der If schleife einbauen so das ein User wenn er nicht den refferer anpasst und die datei direkt aufruft sofort erstmal gesperrt wird...
Nun nichts desto trotz bekomme ich das gerade nicht so hin wie ich das möchte...naja werde mir das morgen mal genauer anschauen.
Problem ist dabei auch das einige Browser garkeinen Refferer senden, somit könnte es passieren das auch normale User gesperrt würden. :)
Jo, hatte mir schon gedacht, aber über den Referrer halt nicht möglich, da dieser nicht für solche Zwecke gedacht ist.
Und wer sich sowas einbaut, könnte die Zeit auch einfach nutzen, um den Einsatz zu überprüfen :biggrin1:
Das ist ja nun auch nicht schwer, und da kann ich dann berechtigterweise jeden User sperren, der es mit einem falschen Einsatz versucht.
Was mich ja viel mehr aufregt, da die Absicherung relativ trivial ist, dass quasi jeder "Kunde" es einfach so akzeptiert, dass ihm so ein Sch**ß angedreht wird.
Ich weise die "Geschädigten" und auch Seitenbetreiber, wo man sowas schon zuvor durch Tests verhindern konnte, immer darauf hin, dass sie sich doch bitte bei dem Verkäufer und dem Progger beschweren sollen, aber wer macht das schon?
:frusty: :rant: :rolleyes:
...
Wäre auch mal angebracht denke ich für die diversen Shops, hinzuschreiben, ob Ihre Slots gegen den "Minusbug" abgesichert sind, könnte man sicher ein paar mehr Kunden gewinnen und auch Vertrauen. (Moralpredigt Ende :wink:)
maniwelt
18.01.2009, 23:35
Oha....
Wieder ein Kandidat gesperrt, gelöscht und für Neuanmeldung gesperrt *Blacklisted*
Warum gibt es kein Addon für Admins, das es ermöglicht, Sperren von andere Seiten den Admin automatisch mitzuteilen, bei BUG-Using, Etc. so das der Admin direkt entscheiden kann, was er tun will ?
Wäre seeehr hilfreich ;)
Ach ja, ich hatte den ja auch auf meine Seite, seit heute, zum Glück nicht freigeschaltet, allein sein Name und Vorname war ja Sperre Wert :)
Daher hab ich ja auch, Auszahlungsverweigerung-Addon, erst wenn ich den freischalte, nach diverse Prüfungen, dann erst kann er auszahlen ;)
Warum gibt es kein Addon für Admins, das es ermöglicht, Sperren von andere Seiten den Admin automatisch mitzuteilen, bei BUG-Using, Etc. so das der Admin direkt entscheiden kann, was er tun will ?
Wäre seeehr hilfreich ;);)
wäre ich auch sehr dafür..
Ach ja, ich hatte den ja auch auf meine Seite, seit heute, zum Glück nicht freigeschaltet, allein sein Name und Vorname war ja Sperre Wert :)
Daher hab ich ja auch, Auszahlungsverweigerung-Addon, erst wenn ich den freischalte, nach diverse Prüfungen, dann erst kann er auszahlen ;)
hab ich auch drin.. hatte aber vor einigen tagen doch glattweg eine anmeldung... o.k. wurde aber sofort nach auszahlunsgfreigabe gefragt, ohne auch nur ein klick zu machen oder ein dreh am slot... sie hatte nur ihre b-lose von der anmeldung...
sowas macht ein auch irgendwie stutzig...
Klammgate
19.01.2009, 13:23
Meinst du so? Weil es steht ja schon oben mit drin
include("config.php");
include("gewinnlinien.php");
$result=mysql_query("SELECT * FROM ".$db_prefix."_kontodaten WHERE uid='$_SESSION[uid]'");
$row=mysql_fetch_array($result);
if ($row[kontostand] < $einsatz)
{
echo "&result=Zu wenig Lose.&";
}
elseif (strlen($_SESSION["uid"]) > 0)
{
$einsatz = intval($_POST["einsatz"]);
Pack das direkt hier hinter:
$einsatz = intval($_POST["einsatz"]);
Klammgate
19.01.2009, 13:31
Und hol dir ein Addon, welches die maximale Auszahlung begrenzt pro User/Tag.
Wo bekomm ich dieses ADD
didith1207
19.01.2009, 13:34
der php code soll hinter :
$einsatz = intval($_POST["einsatz"]);das ganze sollte bei dir dann so ausschauen:
$einsatz = intval($_POST["einsatz"]);
if ($einsatz != 5000 && $einsatz != 10000 && $einsatz != 25000 && $einsatz != 50000 && $einsatz != 100000 && $einsatz != 250000) die("&result=Fehlerhafter Einsatz&");
die einsätze noch anpassen....
Klammgate
19.01.2009, 20:05
Hab es geändert im Safari war genau das selbe.
Dank euch
Weiß man schon wer der Knaller ist. Von Klamm kommt auch keine Reaktion. Denke mal die 75 mio kann ich in den Wind schreiben
Hab es geändert im Safari war genau das selbe.
Dank euch
Weiß man schon wer der Knaller ist. Von Klamm kommt auch keine Reaktion. Denke mal die 75 mio kann ich in den Wind schreiben
sorry muß dich da entäuschen, von klamm wirst du nie eine reaktion bekommen, außer
was geht klamm eine externe seite an???
sorry muß dich da entäuschen, von klamm wirst du nie eine reaktion bekommen, außer
Da muss ich wiedersprechen Mone hat mir in solchem bezug auch schon ngeholfen und wenn man höflich ist tut sie es auch
EarlofMidnight
19.01.2009, 22:15
Zumindest ist er bei Klamm gesperrt, aber eine neue Klamm ID ist schnell angelegt und dann geht es wieder los.
Könnte man nicht die Buchungen übern header prüfen sobald eine höhere minusbuchung auftaucht den user erstmal kaltstellen bis man es selbst überprüft hat?
Wenn eine minusbuchung so
auftaucht
-25.000.000,00 Schatz-Slot-Einsatz
ist so einiges klar da sollte Alarm im Admin klingeln und dem User ne Sperre für alle Gamebereiche und der Auszahlung erfolgen.
Das muß aber nicht erst bei -25.000.000,00 passiren ODER.
Und warum nicht einfach das Game gegen minusbuchungen absichern ???
das game fixen gegen den minusbug ist klar, aber zusätzlich kann man trotzdem user die versuchen den minusbug zu nutzen zumindestens mitloggen (um eventuell eine meldung an klamm zu senden) oder auch gleich zu sperren...
dragon11
20.01.2009, 13:37
User ist auch bei mir aufgetaucht, hatte jedoch keine chance: :-)
[18.01.2009 - 01:58] Faken im Schatzslot (Einsatz manipuliert)
ist der Sperrtext
Klammgate
21.01.2009, 15:34
Hi an alle
also die Lose kann ich vergessen. Mist
Simone hat mir geantwortet. Es waren jedoch keinerlei Lose mehr auf dem Account so das sie nichts einfrieren oder rückbuchen konnte.
Tut schon weh vor allem wo meine Seite so am Existensminimum rumdümpelt. Hab einfach nicht genügend Lose bzw. Kleingeld um die Seite weiter auszubauen, damit mal wieder ein paar neue User kommen.
Dann kommt noch dazu das ich mit meinen Rallys Probleme hab. Die Laufen zwar und wenn ich auf auswerten klickewerden auch die gewonnenen Lose den Usern gut geschrieben, aber es steht nichts in der Buchungsliste und auch in der Bilanz taucht nichts auf. Hab schon x- mal durchgeschaut, aber nichts gefunden.
Wer mal schauen möchte
http://www.klammgate.de/vms
LG Klammgate
didith1207
21.01.2009, 16:07
das ist ein bekannter fehler! Bitte hier nachlesen:
http://www.designerscripte.net/showthread.php?t=6149&highlight=buchungen
Klammgate
21.01.2009, 16:33
Das hat geholfen und funzt super und danke
Nina-BTC
01.02.2009, 18:34
Ich habe nun das Forum nach einer allgemeinen Anleitung gesucht mit dem man Spiele auf diesen bösen Minusbug prüfen kann. Leider habe ich nichts gefunden was mich wirklich weiterbringt außer das Beispiel hier für den Schatzslot.
Hat jemand einen hilfreichen Link für mich?
Ich habe nun das Forum nach einer allgemeinen Anleitung gesucht mit dem man Spiele auf diesen bösen Minusbug prüfen kann. Leider habe ich nichts gefunden was mich wirklich weiterbringt außer das Beispiel hier für den Schatzslot.
Hat jemand einen hilfreichen Link für mich?
Hier wird dir sicherlich keine eine Anleitung geben wie man an einen Slot einen Bug ausnutzt (auch wenn du offensichtlich nur deine eigenen Slots testen willst)...
Grundsätzlich kann man aber sagen das jeder Slot anders Proggramiert wird so also jeder Slot auch anders abgesichert werden.
http://www.designerscripte.net/showthread.php?t=3214
Es gibt da keine allgemeingültige Anleitung, da nun mal jeder Slot etwas anders aufgebaut ist.
Aber im Prinzip fällt das ja unter CIV, also dass man alle "Eingaben" des Users überprüfen muss, bei den Slots meist:
$_GET['einsatz'];
$_POST['pool'];
$_REQUEST['bet'];
usw....
In den PHP Dateien erkennt man eine Überprüfung eigentlich dann schon, in dem man sich anschaut, was weiter mit diesen Werten gemacht wird.
Sollte keine Überprüfung stattfinden, muss man diese halt noch einbauen, da bietet sich in_array() an.
Nina-BTC
01.02.2009, 19:08
@hardliner
Ich wollte keien Anleitung zum Bugnutzen sondern eine zum Bugentfernen:wink:
Auch wenn ich nicht genau verstanden habe warum man die Änderungen an den aufgezählten Spielen vornehmen soll werd eich es mal anwenden. Den Icysevenslot habe ich nämlich auch:yes:
@jpwfour
Achso, dann schau ich mal schnell alle meine Spiele durch.
Bis jetzt hab ich mir nur den Code von 3 Spielen (Schatzslot,Safarislot und Fruitsslot)angeshen und die sehen eigentlich ziemlich gleich aus für mich:biggrin1:
...Schatzslot,Safarislot ...
Bei den Beiden ist schon mal Vorsicht geboten :eek:
Es gibt zwar wohl schon eine Version, wo der Minusbug entfernt wurde, nur leider verstößt die gegen das Urheberrecht, und alle anderen haben diesen afaik noch drinnen.
Bei den Beiden ist schon mal Vorsicht geboten :eek:
Es gibt zwar wohl schon eine Version, wo der Minusbug entfernt wurde, nur leider verstößt die gegen das Urheberrecht, und alle anderen haben diesen afaik noch drinnen.
Bei den beiden ist der Bug aber auch schon seit jahren bekannt und wer da noch welche verkauft mit minusbug der gehört :censored:
Die Codes sind beide identisch (da es lediglich ein umbau des slots ist) und wie man dort den minusbug entbuggt wurde ja hier schon erklärt (siehe post 4)
Nina-BTC
01.02.2009, 21:01
Ja stimmt Schatz und Safari sind identisch in der game.php damit sollte ich diese beiden Spiele jetzt entbugt haben:smile:
Leider sieht die game.php vom Fruitsslot ganz anders aus, dort finde ich nichts ala $_GET['einsatz']
Ja stimmt Schatz und Safari sind identisch in der game.php damit sollte ich diese beiden Spiele jetzt entbugt haben:smile:
Leider sieht die game.php vom Fruitsslot ganz anders aus, dort finde ich nichts ala $_GET['einsatz']
meld dich doch mal im icq bei mir ich kann mir das mal anschauen.
Nina-BTC
08.02.2009, 04:14
Ich habe den Schatzslot nd Safari Slot nach der Anleitung umgebaut aber jetzt bekomme ich Fehlerhafter Einsatz angezeigt:frusty:
didith1207
08.02.2009, 04:44
hast du die einsätze(im code) an deine vom slot angepasst?
Nina-BTC
08.02.2009, 04:48
Ja habe ich:rolleyes:
Nina-BTC
31.03.2009, 02:28
Schatz und Safari laufen jetzt bei mir einwandfrei und sicher der Schatz Slot ist auch schon online, danke an alle Helfen!!!!!!!!!!!!!!!!!!!!!!
Hat noch jemand von euch den Pirates Slot? Würde den gern online stellen aber vorher abchecken ob er auch sicher ist, nicht daß er auch den Minusbug hat:yes:
...Hat noch jemand von euch den Pirates Slot?
Jo, 2x Pirates 50:50, 1x PiratenSlot, 2x Pirates Slot, 1x Pirates 3-liner, 1x Pirates World, 1x Pirates
Evtl solltest du "Pirates" noch etwas "genauer" beschreiben :biggrin1:
Nina-BTC
31.03.2009, 16:27
Oh Gott soviel gibt es davon:eek: Dann hilft ja nur noch ein Bild:biggrin1:
http://www.imagehosteronline.com/images/rnt8zpiltuqwxhi8d07_thumb.gif (http://www.imagehosteronline.com/viewer.php?file=rnt8zpiltuqwxhi8d07.gif)
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.