Помогите Взлом.Прошу помощи.

Меня взломали первый раз(за 5 месяцев).Прошу помощи,два игрока получили права и сломали спавн,забанили игроков.

Сервер:
1)BunngeCord
2)Core
3)Survival
Атворизация стоит на Survivale.
Config.yml BunngeCore:

Спойлер

Код:

ip_forward: true
network_compression_threshold: 256
stats: c8de8f7e-0cbd-4840-9321-559480a40b68
groups:[]
servers:
  core:
    motd: '               &4•&c●&f● &4&lY&c&lo&4&lu&c&lr&4&lW&c&la&4&ly &f&lDupe &f●&c●&4                               &9❄    &fНовогоднее
      обновление, заходи скорее! &9❄'
    address: 137.74.192.91:25800
    restricted: false
  survival:
    motd: '               &4•&c●&f● &4&lY&c&lo&4&lu&c&lr&4&lW&c&la&4&ly &f&lDupe &f●&c●&4                               &9❄    &fНовогоднее
      обновление, заходи скорее! ❄'
    address: 137.74.192.91:25700
    restricted: false
timeout: 30000
player_limit: -1
listeners:
- query_port: 25565
  motd: '                 &4•&c●&f● &4&lY&c&lo&4&lu&c&lr&4&lW&c&la&4&ly &f&lDupe &f●&c●&4                               &9❄    &fНовогоднее
    обновление, заходи скорее! &9❄'
  priorities:
  - core
  bind_local_address: true
  tab_list: GLOBAL_PING
  query_enabled: true
  host: 137.74.192.91:25565
  forced_hosts:
    pvp.md-5.net: pvp
  max_players: 2016
  tab_size: 60
  ping_passthrough: false
  force_default_server: true
permissions:
  default:
  - -bungeecord.command.server
  - -bungeecord.command.list
  admin:
  - bungeecord.command.alert
  - bungeecord.command.end
  - bungeecord.command.ip
  - bungeecord.command.reload
online_mode: false
log_commands: false
disabled_commands:
- disabledcommandhere
connection_throttle: 4000

Plugin сервера Survial:

Спойлер

NoCheatPlus
UralChat
WorldEdit
TimTheEnchanter
EffectDupe
Essentials
MainStats
Chairs
WorldBorder
NoVoMoTD
DynPad
WorldGuard
Clans
UltraEmerald
DrugsFTW
SkinsRestorer
Fixer
MainMessages
PermissionsEx
MCDonate
WGExtender
ViaVersion
CustomJoinItems
MineResetLite
WMarriage
Vault
HideStream
ChatManager
EssentialsSpawn
RegionProtector
Granter
DrinksCMD
Jobs
LimitedWorldEdit
ProtocolLib
NoCheatPlus
Citizens
ChestCommands
RandomTeleport
MagicSpells
DtlCitizensTrader
AuthMe
HolographicDisplays
TabConfig
NPCCommand
MythicMobs
Vault

Логи действий игроков что взломали:

Спойлер

https://yadi.sk/d/3fjwiap733d9of

 

Вот тебе туториал: http://rubukkit.org/threads/zaschita-servera-bungeecord-ot-vzloma.82651/

 

Туториал смотрел,нету возможности поставить ip 127.0.0.1,или подключитьса к ssh чтобы закрыть порти.

 

Взламывали командами. Это очень хорошие взломщики. В кофигах есть подзрительные команды: esudo, sigma, и т,д. Пофикси эти права в essentials, и в PermsEx. Или же(мало вероятно) ты скачивал сборку и там был хак.! Удачи в фиксе!

 

Я проверял ети команды sigma- такой нету, ept -команда ставитса на предмет,прав на использування у игроков нету(команда на предмете выполняетса от имени игрока), /esudo -у игроков нету прав на использование етой команди.
Сборка не скачаная,Єйо предоставил друг (на даный час Администратор сервера).Но я не говорю что там нету хаков.

-------------------------------------------------------------------------------
Игроки както получили права групи sglava,(не каких команд чтоб навредили серверу там нету)[DOUBLEPOST=1481821051,1481820396][/DOUBLEPOST]Меня интересують ети две строки,может чтота в них ?

Спойлер

Herowild[/90.143.176.105:56254] logged in with entity id 4508
Herowild lost connection: Disconnected
Line 6299: [15:34:19] [Thread-172/INFO]: UUID of player Herowild is d55ec144-ae2e-3406-ab4e-69a03647704e
Line 6300: [15:34:20] [Server thread/INFO]: Herowild[localhost/127.0.0.1:35067] logged in with entity id 46973 at ([world]168.99715464913635, 70.0625, 305.16528890826294)
Line 6301: [15:34:20] [Server thread/INFO]: [Essentials] Found new UUID for Herowild. Replacing 7e8d25cd-735c-3eeb-940e-06d5f6566bc6 with d55ec144-ae2e-3406-ab4e-69a03647704e
Line 6308: [15:34:34] [Server thread/INFO]: Herowild issued server command: /l 12345111
Line 6309: [15:34:34] [Craft Scheduler Thread - 110/INFO]: [AuthMe] Herowild logged in!

 

проверь сборку, убери у всех опасные права и если все-равно сломают, значит хак в сборке.
пересобирай или чекай плагин за плагином на хак[DOUBLEPOST=1481821179,1481821137][/DOUBLEPOST]порты проверь еще завернуты ли на 127

 

В каком смысле (
порты проверь еще завернуты ли на 127

)

 

Все кроме банжи должно быть в локальной сети
spigot's, sql's, все крч.
Банжа должна смотреть в Сеть.

Если дедиков несколько, iptables/iptables+ipset/other network firewals
Никаких говноплагинов для разграничений на L7 не надо

 

Вот permisions в нем все в порядке.

Спойлер

groups:
user:
permissions:
- magicspells.cast.freeze
- magicspells.cast.volley
- magicspells.grant.freeze
- magicspells.grant.volley
- magicspells.learn.*
- furniture.player
- WMarriage.use
- randomtp.tp
- c.accept
- c.create
- c.delete
- c.kick
- c.invite
- c.war
- c.chat
- c.deny
- c.leave
- c.top
- c.addmoder
- c.members
- c.stats
- c.top
- c.bank
- c.removemoder
- hp.summon
- mcase.gui
- mc.gui
- worldguard.region.info.*
- hp.pet
- chestcommands.open.*
- effectdupe.dupe
- effectdupe.all
- libsdisguises.undisguise
- effectdupe.inv
- effectdupe.help
- npccommand.use
- ultracosmetics.openmenu
- furniture.recipe
- furniture.crafting*
- furniture.crafting.*
- furniture.place.*
- furniture.place*
- echopet.pet.type.(cow).*
- echopet.pet.type.cow
- echopet.pet.type.(chicken).*
- testdonate.group.testvip
- essentials.list
- ride.accept
- ride.decline
- MyPet.user.command.respawn
- MyPet.user.command.release
- MyPet.user.command.capturehelper
- MyPet.User
- automessage.receive.regular
- automessage.commands.enabled
- hardlevels.info
- hardlevels.help
- hardlevels.top
- elevator.down
- elevator.up
- duel.challenge
- duel.stats
- killermoney.earnmoney
- tgym.atm.use
- tgym.stats.self
- drinks.sign
- drinks.list
- drinks.command
- drinks.beer
- drinks.vodka
- drinks.wine
- drinks.cocacola
- drinks.monsterdrink
- drinks.tequila
- drinks.brandy
- drinks.coffee
- drinks.champagne
- drinks.tea
- drinks.sake
- drinks.absynth
- drinks.sambuca
- drinks.aquaregia
- drinks.milk
- drinks.sign
- UralClans.top
- stats.use
- essentials.online
- trails.open
- ms.death
- ms.me
- nte.user
- ms.top
- tgym.atm.use
- tgym.stats.self
- serversigns.use.*
- auctions.command.end
- auctions.command.cancel
- auctions.command.bid
- auctions.bypass.start.maxautowin
- auctions.bypass.start.maxprice
- spawntp.spawn
- UralClans.*
- SimpleDupe.user
- customjoinitems.menu
- customjoinitems.fourd
- spleef.join.*
- spleef.leave.*
- trophyheads.drop
- cartr.user.get
- creativegates.use
- cartr.user.list
- jobs.join.*
- chatmanager.chat.global
- drugs.use
- cpfix.sign
- chairs.sit
- shop.buy
- cases.number
- cases.numberothers
- cases.open
- cases.list
- buyregion.buy
- buyregion.create
- buyregion.buy.*
- buyregion.create.*
- shop.sell
- buyregion.rent
- buyregion.exempt
- buyregion.rent.*
- buyregion.exempt.*
- essentials.ignore
- shop.enchantments
- shop.tab.*
- chestcommands.item.menu.yml
- serversigns.use.*
- chestcommands.open.*
- mobarena.use.join
- mobarena.use.leave
- mobarena.use.spec
- mobarena.use.arenalist
- mobarena.use.playerlist
- mobarena.use.notready
- mobarena.use.class
- chestcommands.open.menu.yml
- hg.list
- hg.info
- hg.leave
- hg.join
- pvpgunplus.*
- signs.create.warp
- shop.enchantments
- shop.buy
- shop.sell
- killermoney.getcash
- marry.*
- dynpad.*
- scoreboardstats.use
- automessage.receive.default
- authme.register
- authme.login
- authme.changepassword
- essentials.signs.use.balance
- essentials.signs.use.buy
- essentials.signs.use.sell
- essentials.signs.use.disposal
- essentials.signs.use.enchant
- essentials.signs.use.free
- essentials.signs.use.heal
- essentials.signs.use.info
- essentials.signs.use.kit
- essentials.signs.use.repair
- essentials.signs.use.time
- essentials.signs.use.warp
- essentials.signs.use.weather
- essentials.build
- essentials.help.worldedit
- essentials.help.lwc
- essentials.mail.send
- essentials.mail
- essentials.balance
- essentials.kit
- dolphinspleef.startArena
- dolphinspleef.joinArena
- essentials.list
- essentials.pay
- essentials.motd
- essentials.msg
- essentials.list
- essentials.rules
- essentials.spawn
- essentials.home
- essentials.sethome
- essentials.workbench
- essentials.tpaccept
- essentials.tpdeny
- essentials.delhome
- essentials.tpa
- essentials.warp
- essentials.warp.list
- essentials.kits.start
- essentials.kits.magic
- essentials.kits.bonus
- essentials.back
- -essentials.hat
- essentials.balancetop
- essentials.enderchest
- main.usebank
- main.usemoneybank
- cba.use
- cba.command
- mainclans.create
- mainclans.top
- mainclans.invite
- mainclans.accept
- mainclans.clanchat
- mainclans.leave
- mainclans.welcome
- mainclans.setwelcome
- mainclans.kick
- mainclans.info
- mainclans.up
- mainclans.down
- mainclans.makeleader
- mainclans.settag
- mainclans.online
- mainclans.getinfo
- mainclans.sethome
- mainclans.home
- mainclans.bank
- mainclans.fight
- mainclans.setlimit
- mainclans.delete
- worldguard.region.claim
- worldedit.selection.hpos
- worldedit.selection.pos
- worldedit.wand
- worldedit.expand
- worldedit.selection.hpos
- worldedit.wand.toggle
- worldedit.wand
- worldedit.selection.expand
- UralPassport.my
- UralPassport.get
- UralPassport.show
- UralPassport.manage
- worldguard.region.claim
- worldguard.region.select.own.
- worldedit.selection.hpos
- worldedit.selection.pos
- worldedit.wand
- worldedit.expand
- worldedit.selection.hpos
- worldedit.wand.toggle
- worldedit.wand
- worldedit.selection.expand
- worldguard.region.list.own
- worldguard.region.remove.own.*
- worldguard.region.wand
- worldguard.region.info
- worldguard.region.addowner.own.*
- worldguard.region.removeowner.own.*
- worldguard.region.addmember.own.*
- worldguard.region.removemember.own.*
- worldguard.region.info.member
- worldguard.region.info.own
- worldguard.region.info
- worldguard.region.flag.flags.pvp.*
- worldguard.region.flag.flags.use.*
- essentials.joinfullserver
options:
prefix: '&8(&aИгрок&8) &7'
suffix: '&7'
default: false
donor:
inheritance:
- User
permissions:
- ms.setkey
- ms.changekey
- cubejoin
- megadupe.unlock
- hp.effect
- essentials.fly
- essentials.feed
- essentials.workbench
- nte.donor
options:
prefix: '&7(&9Donor&7) &c'
default: false
vip:
inheritance:
- User
- Donor
permissions:
- my.sound.permission
- AmazeDupe.items
- essentials.time
- essentials.time.set
- essentials.weather.set
- essentials.weather
- essentials.time
- worldguard.region.unlimited
- essentials.back
- essentials.kits.vip
- essentials.kit
- essentials.food
- essentials.back.ondeathr
- essentials.fly
- essentials.joinfullserver
- vipjoinalert.vip
- my.nano.permission
- trails.open
- drugsftw.info
- drugsftw.takeDrugs
- drugsftw.setonDrugs
- drugsftw.immune
- smoketrail.use.*
- smoketrail.other.*
- smoketrail.multi
- nte.vip
options:
prefix: '&f(&bVip&f) &b'
default: true

[DOUBLEPOST=1481821887,1481821825][/DOUBLEPOST]

В сеть смотрять все сервера,myqsl и другое все на localhost


Если нада,предоставлю большенство плагинов.

Возможен ли взлом через другой банжи ? Под ником админа зайти не могли не как.

 

Возможен.

 

Подробней можна ?

 

Запускается вторая банжа направленная на твой Survival без авторизации.[DOUBLEPOST=1481824002,1481823957][/DOUBLEPOST]Ах да, закрой порт 5000)

 

Вот мнэ интересна как без авторизации,так как авторизация стоит на survivalа не на core.Закрытие портов уже в процесе ,открытими оставлю толька 80 21 22 25565 3306.


PS: при чем тут порт 5000?

 

bungeecord ipforwarding bypass

 

Спасибо большое.Пока закрою порты.Тему отсавляю открытой возобновлю работу сервера,если взломлять тогда буду уже удалять плагини и искать хаки(но пока я их не нашол).

 

если mysql и все на одной машине, смысл держать ее не в локалке?
Впрочем учись на своих ошибках, когда еще раз ломанут как-нибудь, будешь постепенно обезопасивать.
Я лично сразу все максимально наглухо делаю чтобы ни один черт не пролез)0

 

[Essentials] Found new UUID for Herowild. Replacing aa9fa9dc-abb1-3be6-8bc1-b30b958b5c87 with 7e8d25cd-735c-3eeb-940e-06d5f6566bc6. Ты просто лашара. Тебя сдули по незакрытым портам заюзав подмену ipforward .
Вот еще здесь видно его вход с его айпишника, не локалки.
Line 6081: [15:29:12] [Thread-161/INFO]: UUID of player Herowild is 7e8d25cd-735c-3eeb-940e-06d5f6566bc6
Line 6082: [15:29:12] [Server thread/INFO]: Herowild[/90.143.176.105:56254] logged in with entity id 45086 at ([world]181.51383809818387, 70.0, 299.0087418105659)
7e8d25cd-735c-3eeb-940e-06d5f6566bc6 его настоящий оффлайн uuid. А это d55ec144-ae2e-3406-ab4e-69a03647704e видимо админский uuid. Он под ним часто входил.

 

Я написал что мнє ети строки не нравлятса!!!.Ну спасибо Большое тему закрою

 

Просто нужно вникать, что тебе сервер и плагины пишут.[DOUBLEPOST=1481831996,1481831899][/DOUBLEPOST]Так что это не хак в плагинах.

 

Ставь ipwhitelist тогда, если не можешь закрыть порт/запустить сервер на 127.0.0.1