1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
  2. Вы находитесь в сообществе Rubukkit. Мы - администраторы серверов Minecraft, разрабатываем собственные плагины и переводим на различные языки плагины наших коллег из других стран.
    Скрыть объявление
Файлы cookie Добро пожаловать!
Скрыть объявление
В преддверии глобального обновления, мы проводим исследования, которые помогут нам сделать опыт пользования форумом ещё удобнее. Помогите нам, примите участие!

Совет Безопасность: Не ставьте плагины от других людей. Проверяйте...

Тема в разделе "Руководства, инструкции, утилиты", создана пользователем Bars, 23 мар 2021.

Метки:
  1. Автор темы
    Bars

    Bars Старожил Девелопер Пользователь

    Баллы:
    173
    Недавно мне скидывали нужные плагины. Один из них я уже нашел сам (в количестве нескольких версий - разных, но под одной версией). И я решил сравнить, где более новая версия, т.е. в чем их отличия. И сравнивая плагин от чувака, который мне любезно его скинул (казалось бы), я в нем обнаружил очень странный код, которого не было в других плагинах.

    Код вируса/эксплойта с виду очень абстрактный, но если очень присмотреться, то можно увидеть работу с загрузкой стороннего кода/данных по ссылкам. Я стал проверять и другие скинутые им плагины, и в них был точно такой же код, т.е. "человек" делает это осознанно. Либо получил эти плагины от кого-то другого. И самое интересное - в них вирусный код уже был в одну строку! Чтобы прям 99.9% не попасться на глаза.

    В интернете на сторонних сайтах тоже могут быть вирусные плагины и моды!
    Поэтому всегда скачивайте их из официальных источников, если такие имеются (к тому же там будут последние версии), а если нет, то проверьте код.

    Как я быстро проверил данный код в других плагинах:
    1. Открыл через WinRAR, выбрал действие "Найти" и ввел "URLClassLoader" в поиск:
    upload_2021-3-23_10-16-17.png

    2. И посмотрел, тот ли это код. И он оказался тем же, только уже в одну строку! Так делают только когда хотят, чтобы его не заметили. Но вместо URLClassLoader может быть что-то другое! Поэтому проверьте и другие классы вируса, например "RandomAccessFile" (как на скрине выше).​

    Но вирусы могут быть и совершенно другими, не похожими на этот. Это лишь пример заразы. Я просто декомпилировал зараженный плагин (о чем я изначально еще не знал) и одну из оригинальных версий и перетащил папки с декомпилами из проводника в прогу WinMerge для сравнения их кода.

    Уважаемые модераторы, прошу тему в закреп.
    Это ради коллективной безопасности.
    @RikkiLook @slenky
     
    Последнее редактирование: 23 мар 2021
    Bars, 23 мар 2021
    #1
  2. alexandrage

    alexandrage Старожил Пользователь

    Баллы:
    173
    Долго ты спал? Об этом вирусе знают уже сто лет. И этот вирус он работает на asm-е. Главное палево его, если этот то самый о котором думаю.
     
    alexandrage, 23 мар 2021
    #2
  3. imDaniX

    imDaniX Активный участник Пользователь

    Баллы:
    96
    Имя в Minecraft:
    imDaniX
    Спал может и долго, но распространяют, видимо, здесь и сейчас. Но, да, этот скачивает библиотеку asm.
     
    imDaniX, 23 мар 2021
    #3
  4. Автор темы
    Bars

    Bars Старожил Девелопер Пользователь

    Баллы:
    173
    Да кто о нем знает? Никогда не видел ничего ни здесь на форуме, ни вообще
     
    Bars, 23 мар 2021
    #4
  5. alexandrage

    alexandrage Старожил Пользователь

    Баллы:
    173
    Ты так прикалываешься? По моему только один ты не в курсе.
    http://rubukkit.org/threads/bag-s-1-avgusta.128414/
    http://rubukkit.org/threads/reshaem-bag-s-1-avgusta-antifristaugust.132230/
    И еще 100500 тем где не работает чат и команды, или просто краш при их вводе, главная особенность, 0 слотов в пинге. Это все этот вирус. Он вшивает кансел во все ивенты плагинов, при ошибки патча выбивает краш во время выполнения.
     
    Последнее редактирование: 23 мар 2021
    alexandrage, 23 мар 2021
    #5

Поделиться этой страницей