Обсудим Подумаем Взламывают аккаунты игроков подбирая пароли/подделывая айпи адреса

bldrkk · Суббота в 08:42

Недавно произошла очень интересная история о том, как некая группа взломщиков, заходит на сервер, подбирает пароли игроков и угоняет их аккаунты. Но! Они не остановились на обычных аккаунтах. Они перешли к взлому аккаунтов администрации. Как удалось понять, они каким-то образом заходят не только зная пароль жертвы, но полностью копируют её IP-адрес (если кто-то шарит, и я несу полную херь, поймите, я 0 в подобных делах). Спасает только привязка аккаунта в Telegram, но суть в том, то что всех игроков привязать аки не заставишь, а вот потерянный аккаунт ещё как заставляет строчить в поддержку по востановлению.
Мне стало интересно, как они это делают НЕ ЗНАЯ айпи игроков/админов и можно ли как-то от этого защититься? Буду признателен за ответ! P.S использую плуг McAuth

Feniksovich · Суббота в 08:55

По-моему так умело можно подбирать пароли только в двух случаях:
1. Они простые, в духе qwerty123.
2. На сервере дырявый плагин, который ловит все команды аутентификации и отправляет кому нужно.

bldrkk · Суббота в 09:16

Feniksovich написал(а):
1. Они простые, в духе qwerty123.

16-значные пароли через генератор не очень напоминает qwerty123

Feniksovich написал(а):
2. На сервере дырявый плагин, который ловит все команды аутентификации и отправляет кому нужно.

на McAuth стоит довольно таки приличное кол-во серверов

tenshik666 · Суббота в 09:33

bldrkk написал(а):
на McAuth стоит довольно таки приличное кол-во серверов

Это может быть не McAuth а любой другой плагин, который может быть зараженным. Чаще всего слитые не пойми откуда плагины таким грешат.

Encourager · Суббота в 09:38

Думаю, что эти люди просто обходят авторизацию, закрывал ли ты порты?

bldrkk · Суббота в 09:39

Encourager написал(а):
Думаю, что эти люди просто обходят авторизацию, закрывал ли ты порты?

Я сижу на велосити, там таких приколов меньше. Да и + панелька

Объединено Суббота в 09:39

tenshik666 написал(а):
Это может быть не McAuth а любой другой плагин, который может быть зараженным. Чаще всего слитые не пойми откуда плагины таким грешат.

У меня сборка полностью из проверенных плагинов. Шанс на подобное минимальный

Feniksovich · Суббота в 09:51

bldrkk написал(а):
У меня сборка полностью из проверенных плагинов. Шанс на подобное минимальный

Тем не менее без логов, сетапа серверов и прочей информации останется только продолжать гадать.

Encourager · Суббота в 09:59

bldrkk написал(а):
Я сижу на велосити, там таких приколов меньше. Да и + панелька

Велосити точно так же этому подвержен, переходи на вдс и смотри доки птеры как закрыть порты

Объединено Суббота в 10:00

На панельках тоже можно как-то, но я не помню

tenshik666 · Суббота в 10:52

bldrkk написал(а):
У меня сборка полностью из проверенных плагинов. Шанс на подобное минимальный

Но не равный нулю. Скажу даже более, у меня собственный кейс есть, когда взломали автора платного плагина и выложили под видом новой версии зараженный jar'ник. Конкретно мой сервер никто не взломал, он маленький и никому не нужный (даже игрокам), но другим проектам повезло куда меньше.

dronsyy · Суббота в 11:58

bldrkk написал(а):
на McAuth стоит довольно таки приличное кол-во серверов

Но этот плагин не обновляется и имел раньше дыры, поэтому не исключено, что виновник как раз mcauth

Encourager · Суббота в 12:04

Кстати, как подметили выше, в плагине относительно недавно была уязвимость, если у тебя не последняя версия - обновись

Mioji · Суббота в 12:36

В McAuth была уязвимость, как тебе выше написали. Так же рекомендую обновить все плагины до последней версии и перекачать все исполняемые код файлы (например .jar) с офф/проверенных источников, вдруг ещё что-то есть)))

bldrkk · Суббота в 14:12

Encourager написал(а):
недавно была уязвимость

Интерсно, можно поподробнее?

HomaPlus · Суббота в 14:14

bldrkk написал(а):
Недавно произошла очень интересная история о том, как некая группа взломщиков, заходит на сервер, подбирает пароли игроков и угоняет их аккаунты.

online-mode=true
И все
Защита сервера на 99% делегирована на сервера мелкомягких

Пароли даже при желании не подберут

bldrkk · Суббота в 14:17

HomaPlus написал(а):
online-mode=true
И все
Защита сервера на 99% делегирована на сервера мелкомягких

Пароли даже при желании не подберут

Я конечно понимаю любовь в лицензионщикам, приватным серверам, но обсуждение сейчас о чуть-чуть другом

Hahatyn · Суббота в 14:23

Где хранятся пароли?

Encourager · Суббота в 15:33

bldrkk написал(а):
Интерсно, можно поподробнее?

Код:

https://github.com/bivashy/MC-Auth-with-Link/releases/tag/1.8.0-beta.2

Overwrite · Суббота в 15:57

bldrkk написал(а):
на McAuth стоит довольно таки приличное кол-во серверов

Плохо тебе

Авторизуйтесь для просмотра ссылок.

bldrkk · Суббота в 16:29

Кто-то может посоветовать более защищённый плагин аутентификации, раз уже говорите перходить на другие плагины?

Объединено Суббота в 16:29

Hahatyn написал(а):
Где хранятся пароли?

база SQLITE

bldrkk · Суббота в 16:45

Feniksovich написал(а):
Тем не менее без логов, сетапа серверов и прочей информации останется только продолжать гадать.

Вот логи. Внимание на строку 4485, где видно что игрок с ником "ressew" зашёл с другим айпи, а также смог зайти на сервер "grief" что подтверждает то, что он залогинился. Не смотрел лони полностью, но если кому-то понадобится, ник взломщика "Dinnerbone", может получится что-то из этого всего извлечь.

Ещё по плагинам: eedomaininfo, fastmotd, legendsfixer, luckperms, telegram-bot-api, mcauth, viaversion, sonar, velocity-tools

Обсудим Подумаем Взламывают аккаунты игроков подбирая пароли/подделывая айпи адреса

bldrkk

Feniksovich

bldrkk

tenshik666

Encourager

bldrkk

Feniksovich

Encourager

tenshik666

dronsyy

Encourager

Mioji

bldrkk

HomaPlus

bldrkk

Hahatyn

Encourager

Overwrite

bldrkk

bldrkk

Вложения

Мы ценим вашу конфиденциальность