Обсудим Существуют ли бекдоры/риски при скачивании плагинов с ру спигота?

G

gggga

Пользователь
Сообщения
62
вопрос конечно интересный, поскольку в последнее время задумался о безопасности своего сервера. Соответственно стал задавать вопросы на подобии: а смотрит ли модерация разных форумов (не пиратские форумы) на ресурсы которые выкладываются в них? удаляются ли они, или что происходят с ними? можно ли доверять скачку ресурса, разработчик которого как-то на данном форуме имеет пометку "заблокирован"? Конечно за другие форумы ответить будет тяжело, так что хотел бы услышать что-то на счёт этого форума. Шанс бекдоров существует? Ну и юзеры, какие меры предпринимаете вы для того чтобы отберечься от этого добра? всем спасибо
 
gggga написал(а):
а смотрит ли модерация разных форумов (не пиратские форумы) на ресурсы которые выкладываются в них?
Нажмите для раскрытия…
да, проверяем

gggga написал(а):
удаляются ли они, или что происходят с ними?
Нажмите для раскрытия…
а что ещё делать? на самом деле, иногда такие вещи выкладывают что кажется будто человек вообще форумом ошибся. но это уже совсем другая история

gggga написал(а):
можно ли доверять скачку ресурса, разработчик которого как-то на данном форуме имеет пометку "заблокирован"?
Нажмите для раскрытия…
в целом да, почему бы и нет? если плагин уже проверен, и человек никак не может его подменить так как сам файл уже на сервере форума и каждое обновление проверяется (а он ещё и забанен, и не может ничего публиковать)






gggga написал(а):
Шанс бекдоров существует?
Нажмите для раскрытия…
на самом деле, шанс бэкдоров существует ВСЕГДА. да, повторюсь: ВСЕГДА. открою тайну: на забугорном кране (spigotmc.org) плагины сначала публикуются, а потом уже проверяются (и то, если проверяются). там нет задержки "ожидайте одобрения модераторами". а вообще, крайне рекомендую обзавестись декомпиляторами (тот же всеми любимый recaf) и НЕ СТАВИТЬ ПЛАГИНЫ С ОБФУСКАЦИЕЙ КОДА.
 
Пиратские кстати тоже модерируются, по крайней мере один точно, в котором админ сам выкладывает большинство плагинов, и это популярные качественные плагины со spigotmc.org по типу itemsadder, а не слив маяка убийцы с фантайма от какого-то ноунейма

Вообще если в плагине нет обфускации (а её использование для бесплатных плагинов конкретно тут запрещено), то бекдор спрятать почти невозможно, по крайней мере я не придумал как это в теории можно сделать
 
Cyanoriss написал(а):
Пиратские кстати тоже модерируются, по крайней мере один точно, в котором админ сам выкладывает большинство плагинов, и это популярные качественные плагины со spigotmc.org по типу itemsadder, а не слив маяка убийцы с фантайма от какого-то ноунейма

Вообще если в плагине нет обфускации (а её использование для бесплатных плагинов конкретно тут запрещено), то бекдор спрятать почти невозможно, по крайней мере я не придумал как это в теории можно сделать
Нажмите для раскрытия…
Если хакер засунет маленький бекдорчик в огромный плагин (например CMI), ты 100 лет потратишь перед тем, как найдешь его.

Для защиты можно использовать USP

И скачивать плагины только со spigotmc.org, dev.bukkit.org, rubukkit, spigotmc.ru, github
Объединено

kotenokNew написал(а):
Если хакер засунет маленький бекдорчик в огромный плагин (например CMI), ты 100 лет потратишь перед тем, как найдешь его.

Для защиты можно использовать USP

И скачивать плагины только со spigotmc.org, dev.bukkit.org, rubukkit, spigotmc.ru, github
Нажмите для раскрытия…
Иногда с modrinth
 
Cyanoriss написал(а):
Это какой? Ему же всё равно надо будет стучать в интернет чтобы оповестить своего владельца о новом зараженном сервере, чем себя и выдаст
Нажмите для раскрытия…
Ну вот как пример

Берем CMI, суём в какой-нить неприметный класс с листенером чат ивента код, который будет писать команду от консоли при написании определенного слова

Фразу и команду можем закодировать через что угодно, да думаю даже base64 хватит, чтобы банально через in jar translator по ключевым словам найти было нельзя и всё, можем радоваться
 
На старых версиях CMI этот бекдорчик уже есть, только на новых он пофикшен
 
MrDrag0nXYT написал(а):
в целом да, почему бы и нет? если плагин уже проверен, и человек никак не может его подменить так как сам файл уже на сервере форума и каждое обновление проверяется (а он ещё и забанен, и не может ничего публиковать)
Нажмите для раскрытия…
Просто тут странный случай в котором декомпиляр показывает байткоды, и мне интересно как вы проверяете безопасность байткода. Возьму в пример данный ресурс:

RegionAuction - Торговля регионами

frermai добавил(а) новый ресурс: RegionAuction - Торговля регионами - Аукцион, но недвижимостью RegionAuction Аукцион, но недвижимостью По конфигу можно +- понять функционал. К этому же приложил несколько скринов интерфейса Почти полностью кастомизируемый конфиг Узнать больше об этом...
spigotmc.ru spigotmc.ru
 
gggga написал(а):
Просто тут странный случай в котором декомпиляр показывает байткоды, и мне интересно как вы проверяете безопасность байткода. Возьму в пример данный ресурс:

RegionAuction - Торговля регионами

frermai добавил(а) новый ресурс: RegionAuction - Торговля регионами - Аукцион, но недвижимостью RegionAuction Аукцион, но недвижимостью По конфигу можно +- понять функционал. К этому же приложил несколько скринов интерфейса Почти полностью кастомизируемый конфиг Узнать больше об этом...
spigotmc.ru spigotmc.ru
Нажмите для раскрытия…
А что тут собственно не так
 
gggga написал(а):
1. подозрение вызывает большое количество классов и не нужными местами исчислениями
2. байткод декомпиляр выдавал в некоторые места
Нажмите для раскрытия…
1. Прочитай что такое библиотеки
2. В каком месте?
 
gggga написал(а):
1. подозрение вызывает большое количество классов и не нужными местами исчислениями
2. байткод декомпиляр выдавал в некоторые места
Нажмите для раскрытия…
Всё там нормально декомпилируется, а большое количество классов потому что автор плагина не разобрался с настройками и они скопировались при сборке проекта. На самом деле они не нужны
 
Overwrite написал(а):
Ну вот как пример

Берем CMI, суём в какой-нить неприметный класс с листенером чат ивента код, который будет писать команду от консоли при написании определенного слова

Фразу и команду можем закодировать через что угодно, да думаю даже base64 хватит, чтобы банально через in jar translator по ключевым словам найти было нельзя и всё, можем радоваться
Нажмите для раскрытия…
А как скрыть слово dispatchCommand?
 
Overwrite написал(а):
Штош
Никак кроме обфускации
Тем не менее, это надо сначала найти непосредственно в коде, что будет сложно
Нажмите для раскрытия…
jar - это архив, который можно обработать утилитами с интернета
Объединено

Просто replace
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу