Хостинг серверов Minecraft playvds.com
  1. Вы находитесь в русском сообществе Bukkit. Мы - администраторы серверов Minecraft, разрабатываем собственные плагины и переводим на русский язык плагины наших собратьев из других стран.
    Скрыть объявление

Обсудим Плагины-троянские кони и противодействие им.

Тема в разделе "Помощь", создана пользователем Swordin, 14 фев 2017.

  1. Автор темы
    Swordin

    Swordin Активный участник Пользователь

    Баллы:
    66
    Коллеги,

    Редкая ночь не оставляет в логах моего сервера попытки зловредов обнаружить уязвимости в ядре и/или плагинах:
    [09:06:07] [Server thread/INFO]: Winnera issued server command: /case hack
    [09:06:08] [Server thread/INFO]: Winnera issued server command: /essentials:hack
    [09:06:10] [Server thread/INFO]: Winnera issued server command: /send
    [09:06:10] [Server thread/INFO]: Winnera issued server command: /sene
    [09:06:11] [Server thread/INFO]: Winnera issued server command: /server
    [09:06:12] [Server thread/INFO]: Winnera issued server command: /holographicscoreboard
    [09:06:12] [Server thread/INFO]: Winnera issued server command: /reg 101010
    [09:06:13] [Server thread/INFO]: Winnera issued server command: /am add 228
    [09:06:14] [Server thread/INFO]: Winnera issued server command: /am add 228 /pex group default add *
    [09:06:15] [Server thread/INFO]: Winnera issued server command: /am interval 228 0
    [09:06:16] [Server thread/INFO]: Winnera issued server command: /asw pmanager
    [09:06:17] [Server thread/INFO]: Winnera issued server command: /antispam help 19216811
    [09:06:18] [Server thread/INFO]: Winnera issued server command: /sendcommand
    [09:06:19] [Server thread/INFO]: Winnera issued server command: /sudo
    [09:06:20] [Server thread/INFO]: Winnera issued server command: /ncp delay op
    [09:06:21] [Server thread/INFO]: Winnera issued server command: /hack
    [09:06:22] [Server thread/INFO]: Winnera issued server command: /pingcore
    [09:06:24] [Server thread/INFO]: Winnera issued server command: /sigma
    [09:06:25] [Server thread/INFO]: Winnera issued server command: /core
    [09:06:25] [Server thread/INFO]: Winnera issued server command: /hoTb43fd help 18971712
    [09:06:26] [Server thread/INFO]: Winnera issued server command: /nethernetwork2skingworld76
    [09:06:27] [Server thread/INFO]: Winnera issued server command: /eb give me op
    [09:06:28] [Server thread/INFO]: Winnera issued server command: /fp help 18971712
    [09:06:29] [Server thread/INFO]: Winnera issued server command: /execute
    [09:07:21] [Server thread/INFO]: Winnera issued server command: /rsec
    [09:07:22] [Server thread/INFO]: Winnera issued server command: /cm
    [09:07:23] [Server thread/INFO]: Winnera issued server command: /mainclans:clan
    [09:07:24] [Server thread/INFO]: Winnera issued server command: /alert
    [09:07:25] [Server thread/INFO]: Winnera issued server command: /perms
    [09:07:27] [Server thread/INFO]: Winnera issued server command: /wgex
    [09:07:27] [Server thread/INFO]: Winnera issued server command: /givebox
    [09:07:28] [Server thread/INFO]: Winnera issued server command: /givebox Winnera 9901 64
    [09:07:29] [Server thread/INFO]: Winnera issued server command: /randombox
    [09:07:31] [Server thread/INFO]: Winnera issued server command: /rg remove -w world spawn
    [09:07:32] [Server thread/INFO]: Winnera issued server command: /tcc
    [09:07:33] [Server thread/INFO]: Winnera issued server command: /ebadmin
    [09:07:34] [Server thread/INFO]: Winnera issued server command: /ezp crackowner
    [09:07:35] [Server thread/INFO]: Winnera issued server command: /hadmin
    [09:07:36] [Server thread/INFO]: Winnera issued server command: /chestcommands:chestcommandshack
    [09:07:37] [Server thread/INFO]: Winnera issued server command: /forceop
    [09:07:38] [Server thread/INFO]: Winnera issued server command: /ophack

    Насколько я могу судить - это команды, предусмотренные определенными плагинами, позволяющие получить ключевые права на сервере с понятно какой дальнейшей целью.

    В связи с этим вопрос/предложение: знает ли кто-нибудь такие плагины, чтобы их отметить черным крестом и не дай Бог не установить на своем сервере? Уверен, что эти плагины хорошо маскируются под какие-нибудь реальные функции, и кто-то нет-нет, да и попадается на них. Было бы неплохо вести список таких плагинов (наподобии базы вирусов) с описанием их зловредного действия.

    Попутно вторая мысль: а нет ли скрипта-антивируса, который "пробегая" по МС-серверу, выявлял бы известные недружественные плагины по каким-нибудь признакам и критериям? Словом, антивирусная проверка МС-сервера. Гласность в этой проблеме -- наше оружие.
     
  2. Хостинг MineCraft
    <
  3. GoodCoder

    GoodCoder Активный участник Пользователь

    Баллы:
    76
    Уязвисости в ядре встречаются редко. Частный косяк - неправильная настройка bungee, когда к серверу можно подключиться напрямую.

    Плагины качайте только с проверенных ресурсов. Проверяйте их с помощью декомпилятора на наличие вредоносного когда (нужны минимальные знания java). Обфусцированные плагины (не декомпилируются) не устанавливайте.
     
  4. alexandrage

    alexandrage Администратор

    Баллы:
    173
    Skype:
    alexandr0116
    Качай плагины с девведра, там проверяют их. Никогда не бери плагины с лайнфорума, блакспайгода и тп. И не в коем случае не покупай тут на руведре, могут продать с бекдором, или вообще кинут на деньги.
    Можно покупать на спайготмс, хотя я таким плагинам с обфускацией тоже не доверяю, да и не переписать их под свои нужды.
     
  5. Dymeth

    Dymeth Активный участник Пользователь

    Баллы:
    76
    Плагин-антивирус в теории можно реализовать. Вопрос лишь в том, кто этим будет заниматься. Нормальные люди не любят составлять списки подобных плагинов - это как копаться в помойке.

    Скажу больше, можно сделать плагин, который будет анализировать код других установленных плагинов и автоматически выявлять подозрительные места (без всяких списков) - op и звёзды, выполнение команд от имени консоли или игроков, манипуляции с другими плагинами и файлами, сетевые подключения, класслоадеры, запуск сторонних приложений и прочее. Но опять-таки всё упирается в то, что никто не будет такое делать скорее всего (тем более бесплатно). Слишком уж сложно и долго, как мне кажется.

    Да и понятное дело, что никакой антивирус не даст стопроцентной защиты. Как говорится, лучший антивирус - это свежая голова на плечах. Советы по этому поводу уж дали люди выше.
     
  6. Автор темы
    Swordin

    Swordin Активный участник Пользователь

    Баллы:
    66
    Спасибо, коллеги, за оперативные реплики. Во многом я их разделяю. И, тем не менее, если был бы некий антивирус (с эффективными способностями), то я бы с удовольствием его купил (за разумную цену и при определенном доверии, безусловно). Думаю, что и не я один. Прежде, чем установить плагин, проверял бы его антивирусом, ибо не у всех есть достаточные знания в java.

    Особенно в этом заинтересованы те, для кого МС не только (и не столько) увлечение, но и бизнес. Так что стимул у разработчика есть. Антивирусные компании всегда процветают.

    Хотя, возможно, спрос на обсуждаемый продукт и не так высок, как мне кажется.
    В любом случае, спасибо за ваши мнения!
     
  7. deadanykey

    deadanykey Активный участник Пользователь

    Баллы:
    96
    Не уверен в целесообразности такого продукта.
    Вернее, вот как я скажу:

    "Школьники" в любом случае попадутся на модифицированный плагин, рано или поздно. Потому что тупые (уж извините).
    А ответственные сервероделы и так шарят в Java (хотя бы на начальном уровне). Продвинутый владелец обязательно заглянет в кишочки плагина, который достался ему откуда-нибудь из неясного места.
     
  8. Автор темы
    Swordin

    Swordin Активный участник Пользователь

    Баллы:
    66
    Между "школьниками" и "ответственными сервероделами" есть еще множество градаций, поверьте. Делить мир на черное и белое -- значит, на мой скромный взгляд, слишком упрощать вселенную. И, тем не менее, спасибо за ваше мнение )
     
  9. IcedwinterZ

    IcedwinterZ Активный участник Пользователь

    Баллы:
    76
    Имя в Minecraft:
    IcedwinterZ
    Вы это тоже заметили, программа какая-то, или клиент что-ли, слишком он уж быстро печатает (в логах)
     
  10. Автор темы
    Swordin

    Swordin Активный участник Пользователь

    Баллы:
    66
    да, но это несущественно и к теме имеет отдаленное отношение
     
  11. IcedwinterZ

    IcedwinterZ Активный участник Пользователь

    Баллы:
    76
    Имя в Minecraft:
    IcedwinterZ
    Как говорят выше, лучше посмотреть исходник, все же, человек умнее машины, fernflower-ом декомпилил, и посмотрел, лучше всяких антивирусов.


    В них нету смысла, ибо, обойти можно, просто изменив логику
     
  12. Автор темы
    Swordin

    Swordin Активный участник Пользователь

    Баллы:
    66
    Простите, непонятно. Нет смысла в антивирусе? Что можно обойти?

    Вирус может обойти антивирусный скрипт? Касперский с вами не согласился бы )
    Или можно обойти вредоносность вируса, и поэтому не нужен антивирус?[DOUBLEPOST=1487081403,1487081294][/DOUBLEPOST]Ладно, мы идем по кругу. Вы согласились с предыдущим мнением. Я вас понял. Не стоит спорить.
     
  13. IcedwinterZ

    IcedwinterZ Активный участник Пользователь

    Баллы:
    76
    Имя в Minecraft:
    IcedwinterZ
    Да.
    Антивирус*, наверное.
    Легко.
    Именно по этому его тоже обходят, крипторами.[DOUBLEPOST=1487082121,1487081903][/DOUBLEPOST]
    А вот тут уже смотря какой злодей, если школьник, который насмотрелся роликов на YouTube, то, сомневаюсь что он обойдет антивирус (хотя есть такие особы). Если человек, хорошо владеющий этим языком (Java), ему не составит труда это сделать.
     
  14. alexandrage

    alexandrage Администратор

    Баллы:
    173
    Skype:
    alexandr0116
    Даем лямду и fernflower давится, ок да.
     
  15. Автор темы
    Swordin

    Swordin Активный участник Пользователь

    Баллы:
    66
    Без сомнений, есть очень хитрые вирусы. Но их подавляющее меньшинство, единицы процентов (и они дорого стоят). Их можно во внимание не принимать, потому что их мало. Кстати, и на них (при желании) можно найти сверхдорогие антивирусы )) Но... отложим их в сторону - зачем обсуждать частности?

    Я говорю о хулиганских поделках простого и среднего уровня, коих большинство. И пусть они уровня не hi-fi, но тоже заслуживают внимания. И процесс по анализу и пресечению их вредоносности можно (было бы) автоматизировать.

    Хотя если трудозатраты на изготовление антивируса несоизмеримо выше, чем при традиционной декомпиляции и "ручном" анализе, тогда, возможно, вы и правы: игра не стоит свеч.
     
  16. IcedwinterZ

    IcedwinterZ Активный участник Пользователь

    Баллы:
    76
    Имя в Minecraft:
    IcedwinterZ
    Жабка 8 ;)[DOUBLEPOST=1487083241,1487082883][/DOUBLEPOST]
    В принципе, даже не знаю, можно конечно сделать как у касперского, который постоянно подгружает сигнатуры новых вирусов - из какой-то базы, в нашем случае, с хоста какого-нибуть, и обновлять базу регулярно, но ты не найдешь такого кодера, который был бы согласен на это.
     
  17. Dymeth

    Dymeth Активный участник Пользователь

    Баллы:
    76
    И не только лямбду. Люто плюсую. Тут даже не в Java 8 проблема. Недавно обнаружил, что каким-то раком скрывают чуть ли не целые методы (от ферна в первую очередь). Пока не разбирался, что это за зверь, но смотрится довольно неприятно...

    ТС, а что касается антивируса, то я уже сказал, что такая вещь довольно сложна в написании, поэтому мало кто с этого форума сможет такое сделать. Да и если сделают, то за приличную оплату. Всё-таки майнкрафт - это бизнес, поэтому обороты тоже приличные, особенно если дело доходит до безопасности. Но администраторы с крупными деньгами и онлайном, как правило, опытные люди, и не позволяют себе ставить плагины из недоверенных источников (либо как минимум декомпилируют их).
    Поэтому тут палка о двух концах - людям, готовым платить, это не нужно. А вот люди, которым подобный "антивирус" пригодился бы, не смогут позволить себе написание.

    Хотя, возможно, найдётся тот энтузиаст, который действительно напишет это и выложит, скажем, на spigotmc. Возможно даже я. Но это как пальцем в небо - неизвестно когда, где, и будет ли вообще.
    Ровно по сообщению в секунду. Скорее всего действительно какая-то автоматизация...
     
    Последнее редактирование: 14 фев 2017
  18. minedumper

    minedumper Новичок Пользователь

    Баллы:
    21
    Имя в Minecraft:
    minedumper
    BedWarsRel+ ProtocolLibFix FenixDupePlugin RandomBox Valut 1.9
     
  19. slavik123123123

    slavik123123123 Старожил Пользователь

    Баллы:
    143
    Имя в Minecraft:
    Leymooooooooooo
    юзаем cfr or procyon и радуемся.[DOUBLEPOST=1487186802,1487186707][/DOUBLEPOST]
    erbaevclient вроде.
     
  20. minedumper

    minedumper Новичок Пользователь

    Баллы:
    21
    Имя в Minecraft:
    minedumper
    Плюс юзали eLdaevClient для этих команд .hack 1
     
  21. IcedwinterZ

    IcedwinterZ Активный участник Пользователь

    Баллы:
    76
    Имя в Minecraft:
    IcedwinterZ
    У этого гандона клиент есть?
     

Поделиться этой страницей