Skocz do zawartości
  • 👋 Witaj na MPCForum!

    Przeglądasz forum jako gość, co oznacza, że wiele świetnych funkcji jest jeszcze przed Tobą! 😎

    • Pełny dostęp do działów i ukrytych treści
    • Możliwość pisania i odpowiadania w tematach
    • System prywatnych wiadomości
    • Zbieranie reputacji i rozwijanie swojego profilu
    • Członkostwo w jednej z największych społeczności graczy

    👉 Dołączenie zajmie Ci mniej niż minutę – a zyskasz znacznie więcej!

    Zarejestruj się teraz

Rekomendowane odpowiedzi

Opublikowano (edytowane)

Witam, ja z dość niecodziennym problemem.

Będąc na urlopie ktoś pod moją nieobecność dostał się na mój serwer za pośrednictwem nicków graczy.

Wszystko jak widać na screenie odbywało się w expressowym tempie.

Pan X wszedł o nicku "whitelist_check" lecz nie udało mu się dostać (choć ciekawe skąd wiedział aby testować w taki oto sposób czy serwer ma white-liste czy też nie) ponieważ sam w sobie serwer ma uruchomioną white-liste (po co? a właśnie próbując się uchronić przed tego typu akcjami, nie chcemy niepotrzebnych ludzi na serwerze, jest taka opcja więc z niej skorzystaliśmy)

 

Jeszcze samo wejście na serwer mnie jakoś nie zaskoczyło ale już zalogowanie się hasłami użytkowników mnie zdziwiło. Skąd ten ktoś miał hasła tych wszystkich kont? W jaki sposób się uchronić przed tym i co może być ew. powodem takiego "ataku"

Chciałbym dodać że jest to serwer 4fun dla dosłownie grupy 5 osobowej z podwórka gdzie grywamy sobie w nudne wieczory.

 

izWmaCR.png

 

Edytowane przez AndrzejekMąka
Opublikowano

Witam,

warto zacząć od podstawowych rzeczy.

 

1) Masz włączony online-mode?

2) Jaka wersja minecraft oraz silnik?

3) Jakie posiadasz mody/pluginy?

4) Gdzie hostujesz serwer?

5) Zostały wyrządzone jakieś większe szkody aniżeli zalogowanie się na kilka sekund?

 

Być może udostępniłeś komuś UUID (tak jak tutaj na forum) graczy z whitelisty i skorzystał z luki, aby dostać się na serwer. Może to też być kwestia pluginu/moda.

Opublikowano
2 minuty temu, sushiVo napisał:

Być może udostępniłeś komuś UUID

UUID nie jest niczym "sekretnym".

 

2 minuty temu, sushiVo napisał:

skorzystał z luki, aby dostać się na serwer

Jaka luka wykorzystuje UUID? 🤔

Opublikowano
37 minut temu, Helios1993 napisał:

Poprosiłem o pełny log, a nie o przekopiowanie tego co wysłałeś już wcześniej.

TO JEST PEŁNY LOG Z TEGO DNIA - NIKT TEGO DNIA NIE WCHODZIŁ NA SERWER, SERWER NIE BYŁ WYŁĄCZANY ANI WŁĄCZANY PRZEZ CO LOG Z TEGO DNIA WYNOSI TYLKO TYLE I AŻ TYLE.

Ostatnią aktywnością serwera było moje wyjście z serwera dnia 05.10 (https://mclo.gs/MV39dsE) a więc przez 4 dni logi wyglądają tak https://mclo.gs/ZjxGBbj

 

14 minut temu, sushiVo napisał:

Witam,

warto zacząć od podstawowych rzeczy.

 

1) Masz włączony online-mode?

2) Jaka wersja minecraft oraz silnik?

3) Jakie posiadasz mody/pluginy?

4) Gdzie hostujesz serwer?

5) Zostały wyrządzone jakieś większe szkody aniżeli zalogowanie się na kilka sekund?

 

Być może udostępniłeś komuś UUID (tak jak tutaj na forum) graczy z whitelisty i skorzystał z luki, aby dostać się na serwer. Może to też być kwestia pluginu/moda.

1) Online-mode wyłączony z racji graczy którzy grają na non-premium.. sytuacja tego wymaga (tak jak zaznaczyłem serwer 4fun dla grupy 5 osobowej

2) Wersja 1.19.2 silnik purpur (najnowsza dostępna wersja)

3) Plugins (17): ActionHealth, AuthMe, DeluxeHub, dynmap, Essentials, EssentialsChat, EssentialsSpawn, LuckPerms, LWC, MOTD, PlaceholderAPI, SkinsRestorer, Skript, spark, Vault, WorldEdit, WorldGuard (niektóre pluginy dodane typowo na testety, zabawy itp) wiem że authme nie wydało wersji pod 1.19.x, wrzuciłem ją przypadkowo z wersji 1.16 i chodzi więc zostawiłem.

4) Serwer jest fizyczny u kumpla w domu prawdopodobnie HP Proliant - ale po sprawdzeniu nie widać aby doszło do ew. logowania lub wejścia na serwer bezpośrednio, włamanie odbyło się czysto w grze.

5) Prócz zalogowania na konta gdzie nie miał prawa znać ten ktoś haseł do kont graczy, i próbie wpisania /pl to nic więcej się nie wydarzyło.

22 minuty temu, sushiVo napisał:

Witam,

warto zacząć od podstawowych rzeczy.

 

1) Masz włączony online-mode?

2) Jaka wersja minecraft oraz silnik?

3) Jakie posiadasz mody/pluginy?

4) Gdzie hostujesz serwer?

5) Zostały wyrządzone jakieś większe szkody aniżeli zalogowanie się na kilka sekund?

 

Być może udostępniłeś komuś UUID (tak jak tutaj na forum) graczy z whitelisty i skorzystał z luki, aby dostać się na serwer. Może to też być kwestia pluginu/moda.

Czytając trochę głębiej wyczytałem że AuthMe ma chyba jakieś backdoor'sy. Nikomu nie udostępniałem UUID, zaznaczam serwer jest 4FUN grają tutaj ludzie z podwórka i nie miały jak takie dane wypłynąć.

Opublikowano
6 minut temu, AndrzejekMąka napisał:

TO JEST PEŁNY LOG Z TEGO DNIA

Pełny log to cały plik, najważniejsza dla mnie była część dotycząca uruchomienia serwera.

 

7 minut temu, AndrzejekMąka napisał:

Serwer jest w trybie offline, co oznacza, że każdy może ustawić sobie dowolny nick. Twoją jedyną autoryzacją jest plugin AuthMe bez 2fa. Najpewniej ktoś sprawdził w dzień nicki graczy i rano, gdy nikogo nie było, wchodził po kolei i testował proste hasła typu "haslo", "12345", nick/część nicku, popularne imiona. Aby się przed tym na przyszłość zabezpieczyć, włącz autoryzację Microsoftu z funkcją 2fa w server.properties (online-mode ustaw na true). Przywróć kopię zapasową i dla dodatkowego bezpieczeństwa zainstaluj plugin CoreProtect, który pozwoli cofnąć wybrane zmiany na świecie o wybrany czas.

Opublikowano

Siadłem do tego teraz i mam kilka spostrzeżeń:

1) Wszystko odbywało sie dosłownie szybko, nie ma możliwości aby dostał się na konta od strzała w jedną sekundę nie używając błędnego hasła ani raz.

2) Faktem jest to że niektóre osoby mają proste hasła ale wiem również że dwie osoby mają takie niecodzienne, wcale nie proste jakby mogło się wydawać a i tak ten ktoś wszedł od dosłownie jednego zalogowania.

3) "Najpewniej ktoś sprawdził w dzień nicki graczy i rano, gdy nikogo nie było, wchodził po kolei i testował proste..." tutaj tez się niestety nie zgodzę Pan X wchodził również na konta które był dosłownie jeden raz na serwerze i to było z dwa tygodnie temu, a nawet jeżeli to tak jak powiedziałem skąd by jednym kliknięciem wszedł na serwer, przecież przy użyciu błędnego hasła wyrzuca z serwera a to jest jedyna sytuacaja kiedy wszedł, zalogował się zajęło mu to wszystko max. 2minuty i zakończył swoją przygodę.

 

Według mnie głównym problemem tego wszystkiego jest AuthMe który musi posiadać jakiś back-door. Faktem jest to że same nicki mógł sobie chociażby sczytać z dynmap który mamy wrzucony na stronę ale dalej jest dla mnie fenomenem to że zalogował się do każdego konta od buta, przy tym jeszcze dobrze nie wszedł dobrze na konto Thafu a on już wpisał komende /pl 

Opublikowano (edytowane)
1 godzinę temu, Helios1993 napisał:

UUID nie jest niczym "sekretnym".

 

Jaka luka wykorzystuje UUID? 🤔

Nie jest niczym sekretnym, aczkolwiek istniały lub nadal istnieją narzędzia (możesz mnie poprawić), które pozwalały się ,,podszywać'' pod gracza jeśli online-mode był ustawiony na FALSE, mówię to z dosyć starego doświadczenia. Już nie siedzę przy tej grze, lecz staram się jakkolwiek wyjaśnić sytuację która się przytrafiła autorowi. Dlatego między innymi zapytałem o wersję gry i ustawienia 🙂

 

Na resztę postaram się odpisać wkrótce.

Edytowane przez sushiVo
Opublikowano

Przyjrzałem się trochę i wygląda to na zautomatyzowane działanie. Pisałeś, że zalogował się w authme, jednak do wpisania poprawnego hasła nigdy nie doszło, a bot się poddał.
 

1 godzinę temu, AndrzejekMąka napisał:

AuthMe który musi posiadać jakiś back-door

Gdyby authme posiadał wirusa to by już dawno temu było o tym głośno. Jak już napisałem, do logowania w authme nie doszło.


 

55 minut temu, sushiVo napisał:

istniały lub nadal istnieją narzędzia (możesz mnie poprawić), które pozwalały się ,,podszywać'' pod gracza jeśli online-mode był ustawiony na FALSE

Na coś takiego pozwala każdy menedżer kont/piracki launcher i nie ma to żadnego związku z uuid. Możliwe, że pomyślałeś o luce UUID Spoof z czasów bungeecorda, która wykorzystywała funkcję forwardingu uuid w spigocie. Funkcja ta jest domyślnie wyłączona, a po włączeniu jej nie da się dołączyć na serwer w inny sposób niż przez bungeecorda. Polega ona wsadzeniu w bungeecorda kodu mówiącego spigotowi "ustaw mi takie uuid", odpaleniu go na własnym serwerze/localhoście, znalezieniu adresu serwera backendowego i ustawieniu uuid na uuid członka administracji. Nie jest to zależne od autoryzacji Microsoftu, istnieje tylko w bungeecordzie i silnikach proxy które na nim bazują, oraz da się to zabezpieczyć stawiając proxy i serwery na tej samej maszynie lub odpowiednio konfigurując firewalla, a także istnieje dużo prostsza metoda wykorzystania tej luki.

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...