Решено Злоумышленники спокойно заходят с аккаунтов админов и остального персонала.

Злоумышленники спокойно заходят с аккаунтов админов и остального персонала. Хорошо что я убрал всем на время доступ к командам we и wg и опки никому не давал(даже себе ). Еще на кануне игрок написал про вот такой баг: "Можно обойти любой бан. Просто поменяв в нике маленькую букву на большую"
VDS(Порты закрыты), Spigot 1.8.8(1.8, 1.9, 1.10)

Спойлер: плагины

icJukeBox, CleanroomGenerator, WorldEdit, ColoredSigns, KeepItems, SkinsModule, Essentials, ClearLag, AutoMessage, SamistineSignFix, Chairs, NametagEdit, LevelHealth, WorldGuard, Multiverse-Core, weeTrade, SkinsRestorer, SuperTrails, Shopkeepers, AntiBotUltra, ItemCases, MCDonate, EchoPet, PermissionsEx, NoteBlockAPI, WGExtender, ViaVersion, CustomJoinItems, Vault, HideStream, ChatManager, EssentialsSpawn, UralClans2, MassiveCore, TitleManager, CreativeGates, ProtocolLib, NoCheatPlus, MythicMobs, ChestCommands, AuthMe, HolographicDisplays, Quests

А еще меня интересует список команд которые обязательно нужно запретить игрокам, например, команда /minecraft:me (Желательно с пермишенами)

 

Это происходит если AuthMe подсоединен к MYSQL, в моем случае это так было. Фикс - сделать класс на проверку регистра в ядре, и если регистр включает в себя большие буквы - дисконектить игрока.

 

Это не так фиксится, при регистрации записываем ник, потом по нему сверяем регистр.

 

Логи не нужны, у меня была эта проблема, обратился к одному человеку, фикс написал на AuthMe, вообщем в ядро впилил, все норм стало.
Всему виной AuthMe + MYSQL.
Ну если у него нет MYSQL, то не смогу помочь.

Я знаю. Но сначала мы решили это так пофиксить, потом узнали что можно ник записывать при регистрации.

 

потому что ошибка может быть только из - за него, без MYSQL все идет.

 

Что касается команд
- -minecraft.command.*

 

Отлично работает с мускулом.
AuthMe version 5.2-BETA3-b1134

Код:

    # Do we need to prevent people to login with another case?
    # If Xephi is registered, then Xephi can login, but not XEPHI/xephi/XePhI
    preventOtherCase: true

 

Таки доперло что нужно вшить проверку. Долго ж они думали).

 

У меня AuthMe-5.2-BETA3-spigot а какой билд хз, можно ссылочку с этой версией?

 

В твоём плаге тоже должна быть проверка. Узнать версию плагина можно командой /about authme.

 

[DOUBLEPOST=1466596909,1466594166][/DOUBLEPOST]А можно просто отключить БД? Если да то как?)))

 

сервер на Bungee?

 

А можно просто отключить БД? Если да то как?)))

Да

 

Обязательно убирай из конфигов по умолчанию настроенные там права на /server. Плюс там есть типа gm_5 (надо глянуть. я забыл как его точно звать), под этим пользователем заходят и получают все права как админ

 

Это помоему уже с осени того года.

 

md_5 , я все это сделал и iptables поставил. Скорее всего причина именно в authme, я там еще параметры никакие не менял. Мне бд в принципе вообще не нужна. Склоняюсь к варианту, что в бд зашли под дефолтным логином и паролем. Как вырубить эту бд вообще хз... (пароль уже поменял)

 

Да под БД твой никто не заходил, просто при подключении к MYSQL если ты пишешь ник с другим символом:
Предположим ник TEST, а взломщик пишет TESt, и AuthMe принимает это как за новый аккаунт, НО права остаются. Отключай БД.
AuthMe:
##DataSource:
#### И ставь настройки по умолчанию [ТЫК] или [ТЫК]

 

Понял, спс. Но у меня дефолтные настройки и стояли. Или ты имеешь ввиду под комментарий поставить все это дело"#"?

 

Нет, просто стандартную конфигурацию, без ###[DOUBLEPOST=1466612292,1466612023][/DOUBLEPOST]И да, зашел к тебе на сервер, настройки файла с сообщениями слетели, т.к. что укажи нужный файл.

 

Это ты про "null"? Если да, то это уже отдельная тема.