Minecraft(我的世界)中文论坛
标题: 请各位服主注意,本站出现恶意后门插件!
作者: john180 时间: 2015-12-26 23:19
标题: 请各位服主注意,本站出现恶意后门插件!
本帖最后由 john180 于 2015-12-27 00:21 编辑
涉及插件
本次涉及到的恶意插件包括由502647092发布的全部3款插件.
http://www.mcbbs.net/thread-528884-1-1.html
http://www.mcbbs.net/thread-525377-1-1.html
http://www.mcbbs.net/thread-510713-1-1.html
(如果在服务端plugins文件夹内发现 PluginHelper 文件夹那么很有可能你安装了包含此后门的插件)
后门效果
插件自带了一个ddos模块,会自动从作者网站获取ddos目标信息.
包括目标服务器IP,端口号,数据包大小,发送时间等信息.
然后开始在后台自动发起ddos攻击.所有安装此插件的服务器都将成为插件作者的肉鸡.
部分代码截图
解决方法
1.请所有下载并使用此插件并的服主立刻卸载此插件.
2.如实在想使用这些插件,请在服务器上屏蔽yum.citycraft.cn此网址,可阻止插件获取ddos服务器信息.(修改hosts文件教程)
而此插件作者502647092则永久禁言,望各位原创插件作者引以为戒.
作者: 爱杂食的圳 时间: 2015-12-26 23:21
本帖最后由 爱杂食的圳 于 2015-12-26 23:24 编辑
哎…没想到一直在用的重制的插件居然是后门…
果然插件版原创/重制插件还需要谨慎下载…
【话说屏蔽?怎么屏蔽?在Hosts中设置吗?】
作者: snowclay 时间: 2015-12-26 23:23
安装原创插件需谨慎。。即使你反编译过了也记得关闭自动更新
作者: MuChenyu 时间: 2015-12-26 23:23
本帖最后由 MuChenyu 于 2015-12-26 23:29 编辑
请各位服主注意!!!这两个我都装了,真是B了狗了!
【如何屏蔽?】
作者: tsd1 时间: 2015-12-26 23:24
后门层出不穷……
希望各位引以为戒
不要干此类事情
作者: kaho 时间: 2015-12-26 23:24
防不胜防啊...
作者: LittleSkep 时间: 2015-12-26 23:25
[这- -还好我没下载他发的插件]
作者: cs1000 时间: 2015-12-26 23:26
我TM以为终于有重制版的好插件了,没想到居然有后门!
真是服了!狗带去吧
作者: Tony🐴 时间: 2015-12-26 23:27
防不胜防啊←_←诶
作者: 爱杂食的圳 时间: 2015-12-26 23:27
其实他的插件很有用的…只是用在了不正确的地方…
不过那个重制的领地插件已经发布了很久了吧?为什么没有人早点发现呢?
不会是作者后来才添加的吧?
作者: 韩彬妹纸 时间: 2015-12-26 23:28
提示: 作者被禁止或删除 内容自动屏蔽
作者: mopolun520 时间: 2015-12-26 23:31
哎 多好的插件啊
作者: LittleSkep 时间: 2015-12-26 23:32
[他是喵大啊 貌似尘曲的好朋友 怎么会做出这样的事情... 或许是被盗号了..]
作者: 韩彬妹纸 时间: 2015-12-26 23:34
提示: 作者被禁止或删除 内容自动屏蔽
作者: wormz 时间: 2015-12-26 23:37
不用国产就不会死wwwww
作者: ufof 时间: 2015-12-26 23:39
闭源插件/mod还能不能让人相信?
作者: yyeerai 时间: 2015-12-26 23:39
这个这位作者所有源码https://coding.net/u/502647092,如果有人继续要使用,就自己构建,移除所有恶意代码,还是可以继续用的
作者: 1606140786 时间: 2015-12-26 23:40
可惜了,我的喵大大,走好
他的只是公用插件库出现恶意代码。。。
作者: qiu1995 时间: 2015-12-26 23:40
本帖最后由 qiu1995 于 2015-12-27 15:52 编辑
看到这条消息,虽然很想说点什么,但是还是算了。水太深了,我只能上岸。
作者: langyo 时间: 2015-12-26 23:43
不该永久禁言,永久禁止访问才对
社会的败类,凭着自己一点技术害人,孬种
这跟那些建伪基站发病毒、小广告的人还能有什么区别?
作者: LittleSkep 时间: 2015-12-26 23:44
本帖最后由 迷踪 于 2015-12-27 00:03 编辑
[测试完了就应该删掉吧 留着做什么呢 说不定就恶意报复了 不懂Java的我 无视前面的话- - 嘛...终究被认为是后门,反正MCBBS严禁出现这种事的]
作者: 芒果苦力怕 时间: 2015-12-26 23:45
作者: 韩彬妹纸 时间: 2015-12-26 23:50
提示: 作者被禁止或删除 内容自动屏蔽
作者: 芒果苦力怕 时间: 2015-12-26 23:52
我想说你看到那个库里有梦梦的插件了吗
作者: 芒果苦力怕 时间: 2015-12-26 23:52
不懂JAVA别说话
作者: 韩彬妹纸 时间: 2015-12-26 23:54
提示: 作者被禁止或删除 内容自动屏蔽
作者: 查森SK 时间: 2015-12-27 00:01
科科 完全看不懂..
作者: 千飞那个夏 时间: 2015-12-27 00:05
是的,清者自清。
至于有些人,有些话也就不多说了。
吾等还是老实围观就好
作者: jianghr 时间: 2015-12-27 00:07
本帖最后由 jianghr 于 2015-12-27 00:11 编辑
然而后门的强制与否肉鸡并没有选择权。压测也并不需要他自己的带宽或流量。
最后一句亮了。
作者: 韩彬妹纸 时间: 2015-12-27 00:10
提示: 作者被禁止或删除 内容自动屏蔽
作者: mc大龟 时间: 2015-12-27 00:16
顶一个+++++++++++++++++++++++
作者: mc大龟 时间: 2015-12-27 00:16
力挺,居然坑我们这种小白,还是一个群里面的,我估计要收费D我们的服务器, 人心险恶,力挺版主
作者: Grave_tiger 时间: 2015-12-27 00:17
如此恶劣,该诛九族!
作者: asd59612 时间: 2015-12-27 00:19
听说一开始还是没加的 后来说是方便更新加了 然后就呵呵 后门这玩意 无论是用于做什么 都不是一件好事 天堂往左地狱往右 你今天可以帮别人测试服务器压力用这些后门捕捉肉鸡 难保他日 你用这后门做更多非法的是 谁敢给你担保
作者: sofa 时间: 2015-12-27 00:31
网页后台服没法屏蔽的,因为要修改到系统里的hosts,网页后台没这权限,独立服或vps才能改
作者: cookiefox 时间: 2015-12-27 00:45
我已开启喷他kill模式 citycraft.cn/blog/ 这是那货的BLOG。怎么攻击是你们自己的事了~
作者: 匿名 时间: 2015-12-27 01:07
本帖最后由 匿名 于 2015-12-27 14:32 编辑
想想还是匿名了。
其实我个人觉得没什么好争辩的,甚至毫无回旋的余地。没有经过腐竹的许可,擅自控制他人服务器发起DDOS,无论理由是测试还是别的什么,都改变不了事实——插件自带后门,作者擅自控制他人服务器。
某些洗地的也是醉了,正如插件作者自己的话,爱用就用,不用就滚。自己爱当肉鸡能有啥办法?
最后说下,他今天能利用自动更新让你消耗服务器宽带和资源“测试”DDOS其他服务器,说不准哪天就是添加个远程桌面权限,下载数据,甚至格式化整个硬盘。看到这里如果还觉得MCBBS版主都是权限狗,冤枉了一位伟大、无私的技术大拿,麻烦留言回复下。我想看看都是些什么人。
补充:
看了下洗地的集中在对方没有真正开启DDOS模块和手误才加入的DDOS代码。我也是醉到不行。
DDOS开启的开关在远程URL,他想改就改的东西有什么好说的?
手误才加入的DDOS模块?DDOS代码不是他自己写的?是天上掉下来的么?手误能手误到所有他重制的插件都包含?还自动更新到有后门的版本?
还说看过源码的都笑了,让MCBSS版主提高代码水平。源码清清楚楚的显示只要他在特定URL添加地址,就能让所有安装这个插件的服务器自动、循环的消耗自身资源和宽带的对列表内的地址发送指定长度的流量包,这有什么好辩解的?威力小就是恶作剧?但是威力真的小么?对于用VPS和云主机的腐竹来说,上行宽带直接被耗尽。上千台安装了他插件的服务器能打出多少流量自己算算。攻击能力已经可以秒杀任何没硬防的服务器了。
另外发个图,不多说什么。
作者: 117779284 时间: 2015-12-27 02:03
我感觉就是因为用了他的插件后 服务器就开始变卡了····
作者: DarcJC 时间: 2015-12-27 02:23
谢谢楼主。我已经修改HOSTS了= -
附上ubuntu修改方法
sudo vi /etc/hosts
输入i
添加一行"127.0.0.1 yum.citycraft.cn"
按ESC。输入:wq!
重启network.输入 sudo /etc/init.d/networking restart
作者: TU_SI 时间: 2015-12-27 03:25
。。。太恐怖惹{:10_529:}
作者: TU_SI 时间: 2015-12-27 03:26
然而对于我这个连服务器都没有的人有什么用呢23333
作者: 领军人物 时间: 2015-12-27 07:04
虽然作者这种行为让人发指
但是这个插件真心的不错
希望有大大能够消除这个后门再发出来
作者: 海牛的麻烦 时间: 2015-12-27 07:06
总是有心存侥幸的
作者: 木琴 时间: 2015-12-27 08:21
→_→具体情况,我也明白了,这种事情表示,我已经习惯了。
作者: 断弦∑ 时间: 2015-12-27 08:28
这么巧我也是
作者: qq1468993126 时间: 2015-12-27 08:28
还好昨天我就知道了,某人截图我还以为是假的
作者: xRPQx 时间: 2015-12-27 08:33
那个重置的领地插件,我记得那个作者还让我们测试找BUG呢,还好没装,,
作者: MRTangwin8 时间: 2015-12-27 08:37
再次出现了后门插件
这种性质比上次的那个更严重
有点木马的性质了
作者: gonglinyuan 时间: 2015-12-27 08:39
个人感觉这就是插件圈子和MOD圈子的区别了。MOD圈子还是很公开透明的,大部分MOD都开源,少数不开源的比如IC、TE之类的MOD也是历史悠久的老牌MOD了,不可能砸自己招牌的。而插件圈子自从CraftBukkit倒了之后很多插件都开始秘密研发,不仅新手服主很难找到版本新、功能全的插件,甚至还有可能因为后门插件蒙受损失,毕竟他们不可能像大型服务器聘请程序员定做插件。
就因为有把别人的插件改一改、加点后门就拿出来发布的败类,于是插件作者都不愿意开源;能保证100%安全的开源插件少了,服主们也就不得已使用闭源、甚至带有后门的插件。这是一个恶性循环,希望大家能引起重视。
作者: MRTangwin8 时间: 2015-12-27 08:44
这插件有点木马的性质了。。
有些木马本身程序并不包含恶意代码,联网下载一个恶意插件,骗过了安全软件
其实自动更新模块只要不向恶性方向利用,就是个好模块。
在此支持你的观点(不能对匿名贴评分,见谅。。)
作者: 鸭蛋只吃黄 时间: 2015-12-27 08:48
没所谓。。。我的服连玩家都没有,后门就后门吧,,,,,
(不过后门插件还是应该制止的)
作者: Raymond_Min 时间: 2015-12-27 08:54
http://yum.citycraft.cn/I/DDOS/getList
- {"ddosList":[{"id":"1","name":"\u672c\u5730\u6d4b\u8bd5","ip":"127.0.0.1","port":"25565","packet":"4096","times":"20","enable":"0","enbale":"0"},{"id":"2","name":"MFCRAFT","ip":"125.88.182.22","port":"25510","packet":"40960","times":"500","enable":"0","enbale":"0"},{"id":"3","name":"MFPAY","ip":"125.88.182.22","port":"25510","packet":"40960","times":"200","enable":"0","enbale":"0"},{"id":"4","name":"MF\u751f\u5b58\u4e00\u533a","ip":"125.88.182.22","port":"25510","packet":"40960","times":"200","enable":"0","enbale":"0"}]}
作者: asjkdaskljda 时间: 2015-12-27 08:55
喜闻乐见
NO ZUO NO DIE!
作者: Thorn_Arnor 时间: 2015-12-27 09:41
本帖最后由 Thorn_Arnor 于 2015-12-27 09:52 编辑
这么好的插件为什么要删除
作者: 圣灬天国 时间: 2015-12-27 09:41
能否出一个详细的屏蔽教程
作者: geyumei 时间: 2015-12-27 09:42
这货太贱了!必须严惩!
作者: 啊木哥 时间: 2015-12-27 09:57
机智的我并没有用其中一个233333但是服务器还是被ddos了
作者: zylggg 时间: 2015-12-27 09:58
私以为,以作者的段位,还不至于就明文写端代码广而告之,这是DDOS....
当事人也解释了,属于手贱,加班赶工造成失误,此模块自动shade到各个插件了.
他若是要抓鸡,方法可多了,并不稀得明文代码发动攻击.
我相信其属于失误而不是恶意怎么的,也还说不到道德层面那么上纲上线.
但MCBBS管理层必须严肃处理并公告,这也是合情合理的,有各自的立场.
往回帖者不要再一惊一乍的,没有那么玄乎.
作者: 雪狼神 时间: 2015-12-27 10:00
幸好自己有233就没下载
作者: KIUJG 时间: 2015-12-27 10:22
呵呵呵 我该支持谁啊
作者: gonglinyuan 时间: 2015-12-27 10:28
不要再给他洗白了
退一万步说,DDOS本身就属于黑客攻击,是违法行为,不管是出于什么目的
他把代码写明、甚至没有混淆,更能说明他是有多么无耻,甚至可能以为DDOS别人是理所应当的事情
一个程序员这么点道德修养都没有,是很危险的,应该全面封杀才对
作者: 匿名 时间: 2015-12-27 10:35
避嫌还是用匿名了,下载了插件看了下源码,这个DDOS模块并没有启用,希望能够别因此做出这种惩罚,通知作者相关源码删除即可,也希望以后mcbbs下定论前 看!清!源!码!,这个作者还是可信的,请不要把别人说的这么该死。
作者: bebacksee 时间: 2015-12-27 10:42
机智如我,单机好
作者: 优妹酱 时间: 2015-12-27 10:49
私自埋雷也是不对的呀,这是一个公共平台,一启用不知道炸死多少个人。
作者: gonglinyuan 时间: 2015-12-27 11:10
这个插件是有自动更新的 它随时可能启用
作者: dhji 时间: 2015-12-27 11:11
頭像不是台灣雷亞的Cytus么?!
作者: cyqsimon 时间: 2015-12-27 11:32
以我的java水平居然看懂代码了
不可思议
作者: LINCHUTI 时间: 2015-12-27 11:35
希望有大大把这些插件去恶意代码后重新发出
作者: 匿名 时间: 2015-12-27 11:38
这个自动更新也是要服主允许才能更新的,需要输入指令插件才会进行更新
作者: LINCHUTI 时间: 2015-12-27 11:42
不是所有腐竹都不更新
作者: 无为之才 时间: 2015-12-27 12:01
插件有风险,安装需谨慎。。。谨记重制版插件的风险
作者: 龙玉涛 时间: 2015-12-27 12:03
我tps就8...不用方
作者: pk小国 时间: 2015-12-27 12:08
逗逼么,,压测不要带宽。。。。
作者: sjjklh 时间: 2015-12-27 12:18
我埋个雷,我没引爆,你们为什么要对我这样,爱用用不用滚
作者: Wsbyeah 时间: 2015-12-27 12:40
吓得我直接把收藏夹里的连杀插件给删除了
作者: andylizi 时间: 2015-12-27 13:30
非常有趣
作者: andylizi 时间: 2015-12-27 13:37
呵呵,那你看到里面有HMCL了吗
把这些开源项目拿去魔改是什么意思
还有你上次给我的那个ProtocolLib的链接,就是citycraft里出来的
作者: 青格大D 时间: 2015-12-27 14:52
刚好我准备开服,差点下了这个{:10_564:}
作者: mine米 时间: 2015-12-27 15:11
于是自作自受……
作者: 时光如年i 时间: 2015-12-27 15:33
可恶至极!
作者: 芒果苦力怕 时间: 2015-12-27 15:36
上次给我的那个ProtocolLib的链接,就是citycraft里出来的
是啊,那个应该没加ddos代码吧
作者: a1093663086 时间: 2015-12-27 15:52
提示: 作者被禁止或删除 内容自动屏蔽
作者: 龙腾猫跃 时间: 2015-12-27 15:56
又有人作死啊
作者: a08381 时间: 2015-12-27 16:12
本帖最后由 a08381 于 2015-12-27 16:19 编辑
HMCL和ProtocolLib是我构建的用的,直接用的作者的git仓库,sumcraft构建站也不是他的,随你们屏蔽,另外,希望你自己去看看那所谓的DDOS代码,别捕风捉影说些有的没的,以前对你印象挺不错的,希望你不要人云亦云
补充内容: (2015年12月27日16点20分)
说完我就去那个构建站删除了HMCL和ProtocolLib
作者: andylizi 时间: 2015-12-27 16:19
我并没有说过那个仓库里的东西都有DDOS代码(我自己去检查过),但此贴给出的那几个插件我也是看过的。不是很明白你的意思
作者: a08381 时间: 2015-12-27 16:30
本帖最后由 a08381 于 2015-12-27 16:48 编辑
我不能说他把DDOS代码放进插件里这件事是对的,但是实际上,那段代码只和ping的威力差不多,而且确实是最近zxc找他写代码的时候一堆人操作PluginHelper类库混进去的(实际上这个PluginHelper仓库有个dev分支,代码要从dev分支移动到master分支才会最后出现在插件里,不过最近几天他把PluginHelper仓库的编辑权限给了好几个人,也没法确定是谁推的还直接推到master里去了,他自己也一副懒得解释的样子。。。。。。)
补充内容: (2015年12月27日16时48分)
补图一张
作者: andylizi 时间: 2015-12-27 16:42
不管他是怎么想的,又是什么原因,后门插件从他手里出来了那肯定是要负点责任的,所以只能希望他换号做人吧。
作者: a08381 时间: 2015-12-27 16:47
他本人不出来解释我本来也不想解释的,不过我开始误会了你说的这句话
然后我感觉我还是出来解释一下比较好
作者: cheng000 时间: 2015-12-27 16:47
为毛把后面写的这么明显
作者: 1963326665 时间: 2015-12-27 17:00
能否将改插件开源,让码农门去处理这个插件
作者: 芒果苦力怕 时间: 2015-12-27 17:05
本帖最后由 芒果苦力怕 于 2015-12-27 17:12 编辑
那个构建站似乎是很多人一起用的
据我所知应该有梦梦,喵呜还有MCBBS名为a08381的= =,貌似还有千飞夏(可能不准确)
作者: Soul-grazier 时间: 2015-12-27 17:35
开源不符合本插件/mod/软件实际内容对于小白也是假的
作者: 芒果苦力怕 时间: 2015-12-27 18:28
本帖最后由 芒果苦力怕 于 2015-12-27 18:30 编辑
(如果在服务端plugins文件夹内发现 PluginHelper 文件夹那么很有可能你安装了包含此后门的插件)
我想说,使用1.8.8服务端也会出现这个文件夹,使用梦梦的插件也会出现,那是不是都不要装
@john18 @caoli5288
作者: 优酷馒头 时间: 2015-12-27 18:49
从论坛里抽出几个牛X的黑客,反攻!
作者: 88158488 时间: 2015-12-27 18:59
表示装了quickshop 和 res
不过 已经屏蔽了
作者: shure 时间: 2015-12-27 19:13
相关黑客案件在论坛做出相应处理后应当还要将案件转交给警方……
作者: zbx1425 时间: 2015-12-27 19:40
很显然,这次攻击是针对一个叫做MFCRAFT的服务器(IP:125.88.182.22)以及各腐竹的本机的
PS.这位黑客英语怎么这么不好?连Enable都拼错了
作者: 韩彬妹纸 时间: 2015-12-27 19:42
提示: 作者被禁止或删除 内容自动屏蔽
作者: RuiFen 时间: 2015-12-27 19:47
测试就应该删掉啊
作者: Minecraft真心 时间: 2015-12-27 20:13
还好,我没有发现那个文件夹!