Обсудим Плагины-троянские кони и противодействие им.

Коллеги,

Редкая ночь не оставляет в логах моего сервера попытки зловредов обнаружить уязвимости в ядре и/или плагинах:

Спойлер: фрагмент лога с командами взлома

[09:06:07] [Server thread/INFO]: Winnera issued server command: /case hack
[09:06:08] [Server thread/INFO]: Winnera issued server command: /essentials:hack
[09:06:10] [Server thread/INFO]: Winnera issued server command: /send
[09:06:10] [Server thread/INFO]: Winnera issued server command: /sene
[09:06:11] [Server thread/INFO]: Winnera issued server command: /server
[09:06:12] [Server thread/INFO]: Winnera issued server command: /holographicscoreboard
[09:06:12] [Server thread/INFO]: Winnera issued server command: /reg 101010
[09:06:13] [Server thread/INFO]: Winnera issued server command: /am add 228
[09:06:14] [Server thread/INFO]: Winnera issued server command: /am add 228 /pex group default add *
[09:06:15] [Server thread/INFO]: Winnera issued server command: /am interval 228 0
[09:06:16] [Server thread/INFO]: Winnera issued server command: /asw pmanager
[09:06:17] [Server thread/INFO]: Winnera issued server command: /antispam help 19216811
[09:06:18] [Server thread/INFO]: Winnera issued server command: /sendcommand
[09:06:19] [Server thread/INFO]: Winnera issued server command: /sudo
[09:06:20] [Server thread/INFO]: Winnera issued server command: /ncp delay op
[09:06:21] [Server thread/INFO]: Winnera issued server command: /hack
[09:06:22] [Server thread/INFO]: Winnera issued server command: /pingcore
[09:06:24] [Server thread/INFO]: Winnera issued server command: /sigma
[09:06:25] [Server thread/INFO]: Winnera issued server command: /core
[09:06:25] [Server thread/INFO]: Winnera issued server command: /hoTb43fd help 18971712
[09:06:26] [Server thread/INFO]: Winnera issued server command: /nethernetwork2skingworld76
[09:06:27] [Server thread/INFO]: Winnera issued server command: /eb give me op
[09:06:28] [Server thread/INFO]: Winnera issued server command: /fp help 18971712
[09:06:29] [Server thread/INFO]: Winnera issued server command: /execute
[09:07:21] [Server thread/INFO]: Winnera issued server command: /rsec
[09:07:22] [Server thread/INFO]: Winnera issued server command: /cm
[09:07:23] [Server thread/INFO]: Winnera issued server command: /mainclans:clan
[09:07:24] [Server thread/INFO]: Winnera issued server command: /alert
[09:07:25] [Server thread/INFO]: Winnera issued server command: /perms
[09:07:27] [Server thread/INFO]: Winnera issued server command: /wgex
[09:07:27] [Server thread/INFO]: Winnera issued server command: /givebox
[09:07:28] [Server thread/INFO]: Winnera issued server command: /givebox Winnera 9901 64
[09:07:29] [Server thread/INFO]: Winnera issued server command: /randombox
[09:07:31] [Server thread/INFO]: Winnera issued server command: /rg remove -w world spawn
[09:07:32] [Server thread/INFO]: Winnera issued server command: /tcc
[09:07:33] [Server thread/INFO]: Winnera issued server command: /ebadmin
[09:07:34] [Server thread/INFO]: Winnera issued server command: /ezp crackowner
[09:07:35] [Server thread/INFO]: Winnera issued server command: /hadmin
[09:07:36] [Server thread/INFO]: Winnera issued server command: /chestcommands:chestcommandshack
[09:07:37] [Server thread/INFO]: Winnera issued server command: /forceop
[09:07:38] [Server thread/INFO]: Winnera issued server command: /ophack

Насколько я могу судить - это команды, предусмотренные определенными плагинами, позволяющие получить ключевые права на сервере с понятно какой дальнейшей целью.

В связи с этим вопрос/предложение: знает ли кто-нибудь такие плагины, чтобы их отметить черным крестом и не дай Бог не установить на своем сервере? Уверен, что эти плагины хорошо маскируются под какие-нибудь реальные функции, и кто-то нет-нет, да и попадается на них. Было бы неплохо вести список таких плагинов (наподобии базы вирусов) с описанием их зловредного действия.

Попутно вторая мысль: а нет ли скрипта-антивируса, который "пробегая" по МС-серверу, выявлял бы известные недружественные плагины по каким-нибудь признакам и критериям? Словом, антивирусная проверка МС-сервера. Гласность в этой проблеме -- наше оружие.

 

Качай плагины с девведра, там проверяют их. Никогда не бери плагины с лайнфорума, блакспайгода и тп. И не в коем случае не покупай тут на руведре, могут продать с бекдором, или вообще кинут на деньги.
Можно покупать на спайготмс, хотя я таким плагинам с обфускацией тоже не доверяю, да и не переписать их под свои нужды.

 

Плагин-антивирус в теории можно реализовать. Вопрос лишь в том, кто этим будет заниматься. Нормальные люди не любят составлять списки подобных плагинов - это как копаться в помойке.

Скажу больше, можно сделать плагин, который будет анализировать код других установленных плагинов и автоматически выявлять подозрительные места (без всяких списков) - op и звёзды, выполнение команд от имени консоли или игроков, манипуляции с другими плагинами и файлами, сетевые подключения, класслоадеры, запуск сторонних приложений и прочее. Но опять-таки всё упирается в то, что никто не будет такое делать скорее всего (тем более бесплатно). Слишком уж сложно и долго, как мне кажется.

Да и понятное дело, что никакой антивирус не даст стопроцентной защиты. Как говорится, лучший антивирус - это свежая голова на плечах. Советы по этому поводу уж дали люди выше.

 

Спасибо, коллеги, за оперативные реплики. Во многом я их разделяю. И, тем не менее, если был бы некий антивирус (с эффективными способностями), то я бы с удовольствием его купил (за разумную цену и при определенном доверии, безусловно). Думаю, что и не я один. Прежде, чем установить плагин, проверял бы его антивирусом, ибо не у всех есть достаточные знания в java.

Особенно в этом заинтересованы те, для кого МС не только (и не столько) увлечение, но и бизнес. Так что стимул у разработчика есть. Антивирусные компании всегда процветают.

Хотя, возможно, спрос на обсуждаемый продукт и не так высок, как мне кажется.
В любом случае, спасибо за ваши мнения!

 

Не уверен в целесообразности такого продукта.
Вернее, вот как я скажу:

"Школьники" в любом случае попадутся на модифицированный плагин, рано или поздно. Потому что тупые (уж извините).
А ответственные сервероделы и так шарят в Java (хотя бы на начальном уровне). Продвинутый владелец обязательно заглянет в кишочки плагина, который достался ему откуда-нибудь из неясного места.

 

Между "школьниками" и "ответственными сервероделами" есть еще множество градаций, поверьте. Делить мир на черное и белое -- значит, на мой скромный взгляд, слишком упрощать вселенную. И, тем не менее, спасибо за ваше мнение )

 

Вы это тоже заметили, программа какая-то, или клиент что-ли, слишком он уж быстро печатает (в логах)

 

да, но это несущественно и к теме имеет отдаленное отношение

 

Как говорят выше, лучше посмотреть исходник, все же, человек умнее машины, fernflower-ом декомпилил, и посмотрел, лучше всяких антивирусов.

В них нету смысла, ибо, обойти можно, просто изменив логику

 

Простите, непонятно. Нет смысла в антивирусе? Что можно обойти?

Вирус может обойти антивирусный скрипт? Касперский с вами не согласился бы )
Или можно обойти вредоносность вируса, и поэтому не нужен антивирус?
Ладно, мы идем по кругу. Вы согласились с предыдущим мнением. Я вас понял. Не стоит спорить.

 

Да.

Антивирус*, наверное.

Легко.

Именно по этому его тоже обходят, крипторами.

А вот тут уже смотря какой злодей, если школьник, который насмотрелся роликов на YouTube, то, сомневаюсь что он обойдет антивирус (хотя есть такие особы). Если человек, хорошо владеющий этим языком (Java), ему не составит труда это сделать.

 

Даем лямду и fernflower давится, ок да.

 

Без сомнений, есть очень хитрые вирусы. Но их подавляющее меньшинство, единицы процентов (и они дорого стоят). Их можно во внимание не принимать, потому что их мало. Кстати, и на них (при желании) можно найти сверхдорогие антивирусы )) Но... отложим их в сторону - зачем обсуждать частности?

Я говорю о хулиганских поделках простого и среднего уровня, коих большинство. И пусть они уровня не hi-fi, но тоже заслуживают внимания. И процесс по анализу и пресечению их вредоносности можно (было бы) автоматизировать.

Хотя если трудозатраты на изготовление антивируса несоизмеримо выше, чем при традиционной декомпиляции и "ручном" анализе, тогда, возможно, вы и правы: игра не стоит свеч.

 

Жабка 8

В принципе, даже не знаю, можно конечно сделать как у касперского, который постоянно подгружает сигнатуры новых вирусов - из какой-то базы, в нашем случае, с хоста какого-нибуть, и обновлять базу регулярно, но ты не найдешь такого кодера, который был бы согласен на это.

 

И не только лямбду. Люто плюсую. Тут даже не в Java 8 проблема. Недавно обнаружил, что каким-то раком скрывают чуть ли не целые методы (от ферна в первую очередь). Пока не разбирался, что это за зверь, но смотрится довольно неприятно...

ТС, а что касается антивируса, то я уже сказал, что такая вещь довольно сложна в написании, поэтому мало кто с этого форума сможет такое сделать. Да и если сделают, то за приличную оплату. Всё-таки майнкрафт - это бизнес, поэтому обороты тоже приличные, особенно если дело доходит до безопасности. Но администраторы с крупными деньгами и онлайном, как правило, опытные люди, и не позволяют себе ставить плагины из недоверенных источников (либо как минимум декомпилируют их).
Поэтому тут палка о двух концах - людям, готовым платить, это не нужно. А вот люди, которым подобный "антивирус" пригодился бы, не смогут позволить себе написание.

Хотя, возможно, найдётся тот энтузиаст, который действительно напишет это и выложит, скажем, на spigotmc. Возможно даже я. Но это как пальцем в небо - неизвестно когда, где, и будет ли вообще.

Ровно по сообщению в секунду. Скорее всего действительно какая-то автоматизация...

 

BedWarsRel+ ProtocolLibFix FenixDupePlugin RandomBox Valut 1.9

 

юзаем cfr or procyon и радуемся.

erbaevclient вроде.

 

Плюс юзали eLdaevClient для этих команд .hack 1

 

У этого гандона клиент есть?

 

+

+ меня на 1к кинул + он чмо (есть пруфы)