Управление VDS с сервера

Доброго времени суток, дорогой читатель! Хотел спросить, возможно ли при помощи всех прав на сервере что-то делать на VDS на которой стоит сервер? Дело в том что многие говорят 1, а я сомневаюсь в их словах. Так хотел узнать правду возможно ли это.

 

Это всё зависит от плагинов. Если ничего особо не стоит - то и контактировать нечему. Но бывают плагины, которые могут изменять файлы по запросу админа, вроде того же ReActions. Бывают плагины, которые выполняют команды системы. Частично от этого спасает ограничение прав самого юзера системы (не игрока), но т.к. сервер должен запускаться и работать от лица одного конкретного юзера, в случае взлома - его не спасти. Для этого обычно делают бэкапы, ну, и в первую очередь, не ставят подобный софт.

 

Хорошо, а допустим через такой плагин возможно выкачать сборку? И вообще, как понять относится плагин к этому типу или нет?

 

Как уже сказали выше - есть ряд плагинов, которые способны на такое. К примеру из исвестного - AutoSaveWorld, который может создать нового пользователя (или как-то так).
Просто не юзай плагины, способные залезть тебе куда не следует и будет тебе счастье. Также запускай серв не от рута, гайд есть в моей статье.
Лучшее решение - не выдавай никому * или нечто подобное.

 

А вот это бредятина. Невозможно "выкачать сборку" через плагин или нечто подобное. Нужно получить доступ непосредственно к пользователю, что невозможно, если ты не используешь тот же ASW

 

Да, можно.

Надеяться на лучшее. Единственный выход - качать плагины из проверенных источников (https://dev.bukkit.org/, https://spigotmc.org/), и только с уверенными оценками и количеством скачиваний (5к+).

edit: Вспомнил тут - ещё есть Spigot Anti-Malware, может сканировать плагины и выискивать известные подозрительные элементы.

 

Он может исполнять bash команды от лица пользователя, который запустил сервер.
Да и в нем с самого начала встроена защита от дурака, в настройках надо просто включить исполнение команд только от имени консоли.

 

Спасибо всем. Вопрос закрыт. Не мало способов взлома есть, оказывается.

 

Ну вот тут мы сталкиваемся с не дураками, которые пользуясь правами * напишут mycmd-runas console либо же ncp delay, так что это не канает

 

Ну тут только обновляться.
Проверил на форке NoCheatPlus команду ncp delay, не позволяет ее выполнить даже со всеми правами (оп и звезда).
ИМХО, если плагин имеет возможность исполнять произвольную команду от имени консоли, обычному игроку, значит этот плагин надо выбрасывать.

 

MyCommand слишком полезен, чтобы взять и выкинуть его, но в то же время его хранение инфы о правах не по нику а по UUID это та еще заноза

 

А в чём проблема UUID?

Напоминаю всем, что тема находится в разделе "оффтопик"

 

В UUID-hack-е

 

Закрывай порты и не давай доступ левым людям, и никакой UUID-hack работать не будет.
Если сервер уязвим к UUID-hack'у, то у сервера будут проблемы посерьёзней - не только с MyCommand, но и с системой прав, например. Там уже будет не до МайКомманда.

Если же это была отсылка к моей прошлой деятельности, то я оценил

 

А что за деятельность такая, если не секрет?

 

Тут по ходу что то со взломами.

 

rubukkit.org/threads/115944
вебархив

 

Годы идут, а методы не меняются...