1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
  2. Вы находитесь в сообществе Rubukkit. Мы - администраторы серверов Minecraft, разрабатываем собственные плагины и переводим на различные языки плагины наших коллег из других стран.
    Скрыть объявление
Скрыть объявление
В преддверии глобального обновления, мы проводим исследования, которые помогут нам сделать опыт пользования форумом ещё удобнее. Помогите нам, примите участие!

Обсудим Взлом консоли, удаление плагинов

Тема в разделе "Управление сервером Bukkit", создана пользователем Egor33345, 21 фев 2019.

  1. Автор темы
    Egor33345

    Egor33345 Старожил Переводчик Пользователь

    Баллы:
    173
    Имя в Minecraft:
    HellDragon97
    Здравствуйте. Такая ситуация. Взломали консоль, так же злоумышленник имеет возможность удалять плагины (и кто его знает что еще).

    Сервер Spigot 1.13.2. Взял обычный хост на слоты - ds-host.ru. По истории входов в панель управления - заходил только я.

    [22:22:48] [User Authenticator #43/INFO]: UUID of player MrJack is 8b28d771-6fea-3c14-9bf5-e3ce8b98385c
    [22:22:49] [Server thread/INFO]: Disconnecting com.mojang.authlib.GameProfile@14572130[id=8b28d771-6fea-3c14-9bf5-e3ce8b98385c,name=MrJack,properties={},legacy=false] (/212.119.233.86:4672): You are banned from this server. Reason: На вас наложили великую печать Бана!
    [22:22:49] [Server thread/INFO]: com.mojang.authlib.GameProfile@14572130[id=8b28d771-6fea-3c14-9bf5-e3ce8b98385c,name=MrJack,properties={},legacy=false] (/212.119.233.86:4672) lost connection: You are banned from this server. Reason: На вас наложили великую печать Бана!
    [22:25:20] [Server thread/INFO]: CONSOLE issued server command: /pardon MrJack
    [22:25:20] [Server thread/INFO]: §6Игрока§c MrJack §6разбанил Console.
    [22:25:23] [User Authenticator #44/INFO]: UUID of player MrJack is 8b28d771-6fea-3c14-9bf5-e3ce8b98385c
    [22:25:24] [Server thread/INFO]: MrJack[/212.119.233.86:4672] logged in with entity id 594583 at ([Flat1]19.14862860407916, 64.0, 44.42849896714883)
    [22:25:29] [Craft Scheduler Thread - 869/INFO]: [AuthMe] MrJack logged in!
    [22:25:30] [Server thread/INFO]: [0;33;1mMrJack зашел на сервер[m

    Стоит плагин OpGuard. Он пробовал получить статус оператора, не вышло. В итоге написал в чат, что может удалить плагин. Через 40 секунд перезагрузка сервера - .jar файла плагина нет. Всех забанил и просто вышел.

    Понимаю, что может быть в одном из плагинов бэкдор. Но, вроде бы, "левых" плагинов не использую, а крякнутые - с blackspigot. Проверил все плагины на наличие в коде строк "ptnkjke" - таковых нет.


    [​IMG]
     
  2. MurlikMurlik

    MurlikMurlik Активный участник Пользователь

    Баллы:
    96
    Удали все плагины которые качал с черного спигота, я уверен, что в одном из них есть что то не хорошее.
    Так же рекомендую перекачать все действующие плагины с ОФФ источников, то есть с bukkit и spigot, нигде иначе.
    Ибо тот кто тебя взломал, мог залить бэкдор в действующие плагины, а то и вообще в ядро (что тоже стоит собрать у себя на компе а не качать где то)
     
  3. alexandrage

    alexandrage Старожил Пользователь

    Баллы:
    173
    Или хост такой дырявый, где соседи по машинке могут в гости ходить. Бери вдс или дедик, так надежней.
     
  4. TRAYZER

    TRAYZER Активный участник Пользователь

    Баллы:
    66
    Имя в Minecraft:
    TRAYZER
    хоспади все очень просто, в одном плагине есть уязвимость через которую он получил доступ в выходные гляну твои плагины :)
     
  5. TRAYZER

    TRAYZER Активный участник Пользователь

    Баллы:
    66
    Имя в Minecraft:
    TRAYZER
    уже нашел парочку подозрительных планирование скинь мне их в в я гляну.
     
  6. LeonardoDaVinci

    LeonardoDaVinci Активный участник Пользователь

    Баллы:
    76
    Ох уж этот черный спигот)
     
  7. Nikolai_Faint

    Nikolai_Faint Активный участник Пользователь

    Баллы:
    96
    Бред.
    Хорошая мысль.
     
  8. dimkaS

    dimkaS Активный участник Пользователь

    Баллы:
    76
    Имя в Minecraft:
    dimkaS
    Как выше и написали, удаляй все что скачал с blackspigot
     
  9. LeonardoDaVinci

    LeonardoDaVinci Активный участник Пользователь

    Баллы:
    76
    Вот тебе дали уже ответ, тему можно закрыть )
     
  10. Автор темы
    Egor33345

    Egor33345 Старожил Переводчик Пользователь

    Баллы:
    173
    Имя в Minecraft:
    HellDragon97
    Всем спасибо! Буду пробовать варианты разные, сразу же перекачал все плагин со Spigot и devbukkit (т.к. некоторые были отсюда, с переводами). Отпишусь если что еще случится
     
  11. Автор темы
    Egor33345

    Egor33345 Старожил Переводчик Пользователь

    Баллы:
    173
    Имя в Minecraft:
    HellDragon97
    Оказался дырявый хост. Данный персонаж смог запустить выключенный сервер. После я удалил абсолютно все плагины и поставил чистое ядро. Он так же запустил эту конфигурацию. По истории входов - заходил я один. Хост, на котором сейчас сижу - ds-host. В общем, пора переезжать. Всем спасибо!
     
  12. TRAYZER

    TRAYZER Активный участник Пользователь

    Баллы:
    66
    Имя в Minecraft:
    TRAYZER
    Хоспади ещё бы взял какой нить superpuperhost.ru (не реклама)
     
  13. Автор темы
    Egor33345

    Egor33345 Старожил Переводчик Пользователь

    Баллы:
    173
    Имя в Minecraft:
    HellDragon97
    Да знаю, брал как тестовый) Но все равно неприятно
     
  14. d1anjke

    d1anjke Активный участник Пользователь

    Баллы:
    76
    Имя в Minecraft:
    LuYM
    Проверь плагины. Может там ивент при входе,выдающий опку чуваку с ником
     
  15. Автор темы
    Egor33345

    Egor33345 Старожил Переводчик Пользователь

    Баллы:
    173
    Имя в Minecraft:
    HellDragon97
    Точно нет, почитай мой пост выше. Уже найдена проблема
     
  16. d1anjke

    d1anjke Активный участник Пользователь

    Баллы:
    76
    Имя в Minecraft:
    LuYM
    Сейчас все слотовые хостинги дырявые. Мб еще myarena не такая дырявая осталась....
     
  17. MurlikMurlik

    MurlikMurlik Активный участник Пользователь

    Баллы:
    96
    Возможно все таки была дыра в плагинах, злоумышленник залил бэкдор куда то еще помимо плагинов и ядра, в какое то укромное место (если оно вообще там есть), и через него даже на голый сервер, смог заходить. Не исключена возможность дырявости самого хоста.
     
  18. Автор темы
    Egor33345

    Egor33345 Старожил Переводчик Пользователь

    Баллы:
    173
    Имя в Minecraft:
    HellDragon97
    Ответ на мой вопрос от тех. поддержки.


    Нет, проблемы у Вас не было. Была некоторая "уязвимость" в ядре linux. Ядро мы обновили, уязвимость закрыли.

    Приношу извинения от лица всего проекта DS-HOST.RU. А так же от себя лично.
    ---------------
    С Уважением, Евгений. Главный администратор DS-HOST.RU
     
  19. SlenderMix

    SlenderMix Активный участник Пользователь

    Баллы:
    76
    Имя в Minecraft:
    HIDDEN
    Недохостинг с слитой панелью.
     
  20. Dymeth

    Dymeth Активный участник Пользователь

    Баллы:
    98
    Имя в Minecraft:
    Dymeth
    Чтобы соседи могли заглядывать в каталог - это уж совсем школьник должен хостинг делать.
    Сколько не смотрел хостингов слотовых - всегда был отдельный пользователь в системе и персональный каталог, выше которого подняться нельзя.
    ТС, вопрос решён? Если нет - перекачай абсолютно все джарники на сервере, даже те, что с баккит и Спигота. Пока хоть один старый файл остался - сервер ни в коем случае не запускай. Если не поможет - смотри сетевую активность, чтобы понять, с какой стороны бэкдор
     

Поделиться этой страницей