Помогите AuthMe Украли DB Cливают hash паролей.

Впервые за долгое время обратился за помощью так как сам не смог решить эту проблему. ​

Уже не впервые сливают все пароли с плагина AuthMe. Эта проблема не только у меня но и на многих других серверах.
Может у вас есть идеи как можно защитить сервер от слива или может кто знает как они сливают?
В логах никакой информации нет. Также нет ошибок.
1. Использую локальную базу.
2. Сервер на BungeeCord (использую AuthMeBungee-2.2.0 самую последнюю с github)
3. Лобби на FlamePaper (тот же SpigotPaper только с исправлениями крашей)
4. Использую в лобби тольки самые нужные плагины такие как:

AuthMe-5.6.0-SNAPSHOT (самая новая версия с github)
AuthMeTitle
BungeeGuard
CommandSync
DeluxeMenus-1.13.2
HolographicDisplays (самая новая версия)
PlaceholderAPI-2.11.5
ProtocolLib
ServerNPC-1.14.2 (платный! купил)
SimplePortals
SkinsRestorer
SuperLobbyDeluxe-4.7.1-shaded
Vault-1.6.6
ViaVersion-4.9.2

 

Что если просто сделать доп аутентификацию аккаунта? Каждый раз при заходе на сервер просит код где либо

 

возможно у вас не стоит шифрование паролей в вашей базе данных локальных. Если стоит попробуйте поменять на другой тип шифрования. А может это и не поможет..

 

Шыфрования стоит и все шифры можно разшифровать особенно если не сложный пароль. Дополнительную проверку возможно установить но все же хотелось бы найти прчину слива.

 

Нет, нельзя.
Сбрутить - да, можно, однако уникальные пароли ты фиг сбрутишь.

Откуда ты знаешь, что люди просто не ставили у тебя на сервере пароль 123123, после чего были взломаны?

 

Я бы не хотел сдесь рекламировать сайты которые растут как грибы со слитыми хешами паролей з сервера. На этих сайтах есть хешы всех тех серверов которые были ими заявлены! Я это уже проверил и это реально не обман. Забей в гугле ВИПЧЕКЕ ПАРОЛЕЙ Больше того там есть возможность их расшифровать. Причем разшыфровуют даже достаточно сложные пароли.

 

Порты серверов за банжой закрыты?

 

Закрыты. Но даже если открыты то каким образом они могли бы их слить?

 

Ну вот могли бы.
Ладно. При входе на банжу с ника админа команда /server доступна до ввода пароля?

 

Нет. Могли бы обходить сервер регистрации если бы была доступна. Она заблокирована

 

Не ну вообще есть 1 вриантик...

У тебя случаем какой хост?

 

Хранилище паролей могут слить только от туда, откуда к нему есть доступ.
Как правило, доступ к хранилищу имеется из 3-х мест
- Сам сервер, где установлена база
- Сайт
- Игровой сервер, а именно плагины

То что на сервере лобби установлены эти плагины, не говорит о том, что другие плагины на других серверах не имеют доступа к базе authme

В первую очередь проверяется сервер баз данных на предмет подключения с незнакомых IP. Особенно на порты ssh, ftp, mysql и прочие, откуда можно получить доступ к базе.
Затем проверяется сайт на уязвимости, а еще лучше весь веб-сервер, т.к. скрипты имеют свойство загружать ресурсы извне и перемещать их по каталогам, а затем удаляться, особенно если запуск производится от рута.
И наконец самое сложное, это игровой сервер, который имеет те же самые свойства, что и веб-сервер, только еще и придется декомпилировать все плагины и анализировать их работу.

Так же можно включить лог запросов к базе, но это очень затратная операция, как со стороны скорости записи лога, так и со стороны хранилища т.к. запросов там будет огромное кол-во. Это не особо информативно, но сможет дать сам запрос и момент в который этот запрос выполняется

Об остальных методах слива нет смысла говорить, т.к. это либо ошибки самого администратора сервера, либо ошибки разработчиков.

 

У меня хост который не связан с играми. Арендую ресурсы и использую их для сервера. Этот хостинг не имеет конкретной специализации и находится в Англии.

 

Ну тогда видимо skill issue в настройке

 

Афигеть.. Вы правы! В логах auth.log обнаружил ssh подключения с постороннего ip адреса в приблизительное время слива.
Как взломали? Каким образом могли его получить? Я всегда использую сложный пароль и меняю его часто! Пароль использую к примеру такой:
fygiujfgoowrertetsdgrtuytjdrTppo<eHo+3_+Eo9hojpo
Возможно как то подключиться по ssh не используя пароль? Ну скажем через плагин

 

Вот информация об не санкционированом подключении! FlowSshClientSession ? Это что?
minecraft sshd[43264]: Accepted password for systemd-core from 78.40.106.24 port 59501 ssh2
minecraft sshd[43264]: Received disconnect from 78.40.106.24 port 59501:11: FlowSshClientSession: disconnected on user's request

 

Через плагин можно добавить ссш-ключ и авторизоваться с ним. Правда я не вижу смысла вообще авторизацию проходить, если злоумышленник может спокойно передать файлы с сервера к себе безо всяких ссш.
Тут уже вопрос, с вируснёй плагины или нет

 

1 секретик сейчас напишу, правда не сюда

 

Возможно. Даже и без ssh возможно.
Если доступ к серверу уже получен(а, судя по всему, он получен), то необходимо проводить глобальную чистку всего и вся. Переустанавливать ОС, чистить плагины, настраивать безопасность и т.д.
Смена пароля от чего-либо не поможет от слова совсем и какой бы он ни был, это тоже никак не повлияет на дальнейший несанкционированный доступ, т.к. на сервере уже может быть установлен бэкдор, как в плагинах, так и в других частях сервера.
Придется потратить большое кол-во времени на изучение всех этих вопросов или обратиться к кому-нибудь, кто не за бесплатно вам с этим поможет.
Из полезных ресурсов могу посоветовать любой адекватный java декомпилятор, habr/toster, digitalocean ну и сопутствующие ресурсы по java и настройкам linux

 

Сомнительное заявление, сбрутишь, просто времени на это понадобиться гораздо больше.