最MC论坛

标题: 【重要】关于后门插件的预防措施 [打印本页]

作者: zuimc 时间: 2016-1-20 01:09
标题: 【重要】关于后门插件的预防措施
今日有人反馈Mcbbs与Zuimc论坛有人使用小号马甲发布后门插件：
http://www.zuimc.com/thread-39766-1-1.html

我已初步了解MCBBS原帖，http://www.zuimc.com/forum.php?m ... id=39766&pid=164330
未在帖内仅有的截图上发现恶意代码【截图内代码为统计代码，非后门或破坏型代码】，但不排除是发帖者没有截图截出。

从涉事网站也可以看出来者不善。
[attach]8840[/attach]

在此请大家若发现可疑插件，提交给我或论坛其他有反编译及阅读能力的成员检查。

同时建议广大服主：
1、临时解决，独立服务器请改HOSTS，将此域名mckhd.tk屏蔽指向127.0.0.1，如何【改HOST】请百度；
2、有技术能力的服主，应严格控制服务器插件的外网访问权限，使用Iptables做好过滤；
3、从今起在网上下载插件后，使用winrar等压缩软件直接打开插件文件，打开plugin.yml文件查看是否有奇异的指令；
4、可简单的在后台使用/? 或 /help 指令，查看是否有奇异指令出现，进行追查；
5、使用AutoSaveWorld插件可以检测到一些插件的外网请求；
6、请尽量了解服务器内所有插件的用途及指令，可避免不必要的损失；

各位服主可以在后台输入【/? 】或【/help】并将所有输出内容发布到最MC论坛询问是否有异常指令。

作者: 唯一。 时间: 2016-1-20 08:07
如有发现可联系我id上的联系方式。

作者: V乐乐 时间: 2016-2-18 10:02
这个不太好使的，
有JAVA编写者可以通过代码混淆或者其他方式隐藏命令
我推荐的方法：
使用安全狗，拒绝除了服务器端口以外的任何连接（还有FTP等）
至于yml...
不靠谱的，没人会去修改yml这个明显的东西
还有就是看plugin.yml的XXX.XXX（后面往往是插件的真名）
然后去dev官网搜索是否有该插件开源，若开源则必须小心！

作者: DDMCloud 时间: 2016-4-29 19:24

V乐乐发表于 2016-2-18 10:02
这个不太好使的，
有JAVA编写者可以通过代码混淆或者其他方式隐藏命令
我推荐的方法：

直接查方法关键词...

作者: V乐乐 时间: 2016-4-29 21:13

DDMCloud 发表于 2016-4-29 19:24
直接查方法关键词...

关键是假如对面有代码混淆？
后门插件都会有一些代码混淆

作者: DDMCloud 时间: 2016-4-29 21:35

V乐乐发表于 2016-4-29 21:13
关键是假如对面有代码混淆？
后门插件都会有一些代码混淆

...直接用jd-gui查查看执行危险方法啊
例如setop
这些一般不会变的

作者: V乐乐 时间: 2016-4-30 08:29

DDMCloud 发表于 2016-4-29 21:35
...直接用jd-gui查查看执行危险方法啊
例如setop
这些一般不会变的

的确，
但是这是一般情况..
假如是我写我会把setup写在最前面，
减小可疑度，然后大肆代码混淆，
自己看得懂对面简直就是GG
好啦，你也是一名技术~相信你也懂
不过对于新手腐竹来说的确是很有用

作者: DDMCloud 时间: 2016-6-4 15:18
@zhouhaha
反射的话应该也有关键词的吧

作者: zhouhaha 时间: 2016-6-22 15:23

DDMCloud 发表于 2016-6-4 15:18
@zhouhaha
反射的话应该也有关键词的吧

char a = 't';
String d = "o";
getMethod("se"+a+"+d.toUpperCase()+'p');

作者: DDMCloud 时间: 2016-6-22 15:24

zhouhaha 发表于 2016-6-22 15:23
char a = 't';
String d = "o";
getMethod("se"+a+"+d.toUpperCase()+'p');

好吧我服...可以考虑动态检测吧

作者: wang19095605468 时间: 2016-8-8 09:45
08.08 09:44:20 [Server] INFO //, /.s, /ascend, /biomeinfo, /biomelist, /brush, /butcher, /ceil, //center, //chunk, /chunkinfo, /clearclipboard, //clearhistory, //contract, //copy, //count, /cs, //cut, /cycler, //cyl, //deform, /delchunks, /deltree, /descend, //desel, //distr, //drain, //ex, //expand, //faces, /farwand, //fast, //fill, //fillr, //fixlava, //fixwater, //flip, /floodfill, /forestgen, //generate, //gmask, //green, //hcyl, //help, //hollow, //hpos1, //hpos2, //hpyramid, //hsphere, /info, //inset, /jumpto, //limit, /listchunks, //load, /lrbuild, /mask, /mat, //move, //naturalize, /none, //outset, //overlay, //paste, //pos1, //pos2, /pumpkins, //pyramid, /range, //redo, //regen, /remove, //removeabove, //removebelow, //removenear, /repl, //replace, //replacenear, /restore, //rotate, //save, //schematic, //searchitem, //sel, //set, //setbiome, //shift, //size, /size, //smooth, /snapshot, //snow, //sphere, //stack, /superpickaxe, //thaw, /thru, /toggleeditwand, //toggleplace, /tool, /tree, //undo, /unstuck, /up, //walls, //wand, /we

作者: 1409266767 时间: 2017-5-13 15:38
好深奥

作者: 钻石梦想 时间: 2017-5-24 20:27

V乐乐发表于 2016-4-29 21:13
关键是假如对面有代码混淆？
后门插件都会有一些代码混淆

又发现吕乐乐了..........

作者: liguo 时间: 2017-5-27 19:06
听不懂

作者: shuaibi_bi 时间: 2017-8-22 08:57
666

作者: 懒床职业户 时间: 2018-2-3 20:51
回复支持

作者: 虚小白 时间: 2018-3-28 12:17
不错，赞同！！！！

作者: 3213124 时间: 2018-5-19 08:30
顶顶顶

作者: j8666 时间: 2020-12-3 00:38
的确有道理

欢迎光临最MC论坛 (http://www.zuimc.com/)