Приветствую! Сегодня я вам расскажу про вирусы для плагинов в майнкрафт и как они опасны.
Список вирусов:
HostFlow
JavaAssist
August
PacketFixer
Bukloit
bStats.jar
artemka.jar
Floerka
PluginMetrics.jar
Slack
SkyRage/Updater
Modificated annotations
Начинаем:
Данный вирус отличается тем что не создает никаких jar файлов, что делает его слегка скрытным.
Hostflow представляет собой не отдельно взятый зараженный плагин, а библиотеку javaassist в чужих плагинах.
Hostflow распространяется во все плагины сервера, оставляя там L1.ignore и .l1
Далее он подключает ваш сервер к удаленному хосту и отправляет большинство данных от вашего сервера и позволяет его создателям исполнять любые команды от имени консоли. Хак легко детектится веб инструментами, что делает его не столь опасным.
Hostflow активно распространяется на сомнительных ресурсах "Mineleak", "min****ka" и т.п.
Вирус очень тяжело обнаружить, что компенсируется крайне малым вредом для сервера.
Вирус также распространяется по всем .jar файлам при включении, как же без этого, и ставит лок на их открытие через примитивные декомпиляторы.
Как и Hostflow он представляет себя даже не как отдельные файлы, а как кусок кода в других.
Также он не детектится веб инструментами. Нас очень пожалела судьба, что не дала данному хаку опасных фич, как подключение на удаленный сервер, и его опасность ограничивается выключением сервера.
В плане кода плагин примитивный. И по команде дает злоумышленнику все что нужно для взлома
Он легко детектится веб инструментами, но в умелых руках может уничтожить сервер, отправляя всю информацию о сервере. (Даже данные RCON)
В любой плагин внедряется возможность получить /op через заданное сообщение в чате.
bStats.jar был создан с целью вымогать с админов зараженных северов по 3 косаря за обещание не слить сборку.
Плагин представляет собой лоадер и прокси между зараженным сервером и хостом владельца "InfinityHvH".
При запуске отправляется содержимое server.properties в личку создателю. Если порты закрыты и отключен ркон, то через эти данные ничего нельзя будет сделать.
Новейший вирус 2024-го года, в кратции улучшенный HostFlow.
1.Заражение всех плагинов
2.Улучшеная маскировка (Intellij)
3.Команда для выкачивания сборки
4.Управление зараженным сервером через удаленный Discord-вебхук
5.Отправка полной информации об устройстве, на котором был запущен
Вредоносный код не был обфусцирован, что позволило некоторым людям разобрать, что он вытворяет.
Находится в org/intellij/lang/annotations/Preconditions.class в зараженном плагине
LimboHack - это плагин LimboAuth, который отличается от искомого тем, что в нем присутствует широкий набор хаков. Как мне известно, это единственный хак во всем мире, который имеет такую концепцию и обширное количество команд.
В основном, тех.админы/владельцы серверов никогда не поймут, что хак находится в прокси. Как он работает?
Как он работает?:
1. Заходишь на сервер
2. Доходишь до авторизации
3. Прописываешь специальную команду
1. В плагине .jar находится файл Updater.class
2. Процессор сервера ОЧЕНЬ сильно нагружен
Данный вирус работает почти как вирус HostFlow, после попадания на сервер, он начинает его сильно нагружать, он подгружается под все плагины и даже ядро. Так-же может отправлять информацию про ваш сервер злоумышленникам.
При получении этого хака, у вас все плагины будут весить не более 1500 KB, вы должны уже заподозрить что-то.
ChbkHack - это плагин-вирус, который работает на подобие хака "Артемка".
Как он работает?
1. - Заражение всех плагинов по типу как "Артемка"
2. - Выдача опки при вводе определенного сообщения
3. - Выполнение любой команды при вводе "хакнутое сообщение"..
4. - Хак может выкачать вашу сборку
5. - Логирование всех действий
Некоторые плагины собирают анонимную статистику о вашем сервере в папку PluginMetrics и это нормально, и большая часть людей привыкла к тому что она пересоздается при удалении. Но если в папке с плагинами появился плагин PluginMetrics.jar, это не предвещает ничего хорошего.
Первоначально максировался под EssentialsFly. С последующими доработками и пой сей день максируеться под EssentialsBackup. При запуске сервера с зараженным плагином PluginMetrics копирует себя в другие плагины, обфусцируя их.
Начиная с 24 апреля 2024 года, вирус считается неактивным.
Опасен тем, что дает удаленное управление сервером.
Это модифицированные классы для аннотаций, которые скачивают и запускают на вашем сервере нежелательные вредоносные плагины. Они позволяют полностью контролировать ваш сервер удалённо через Discord.
При нахождении этого вируса, был начал спам для проучивания разработчика, но вместо того, чтобы перестать распространять вирус, он начал угрожать
А пока что на этом всё!
Если есть идеи и описания про другие вирусы, то пишите сюда на black-minecraft мне в лс.
Вдохновился темой Обсудим - Виды малварей, чем может заразиться ваш сервер. Hostflow, PluginMetrics и многое другое (Не реклама)
Список вирусов:
HostFlow
JavaAssist
August
PacketFixer
Bukloit
bStats.jar
artemka.jar
ChbkHack
LimboHackFloerka
PluginMetrics.jar
Slack
SkyRage/Updater
Modificated annotations
Начинаем:
HostFlow
Способ обнаружения: файлы "L1.ignore" в .jar плагина.Данный вирус отличается тем что не создает никаких jar файлов, что делает его слегка скрытным.
Hostflow представляет собой не отдельно взятый зараженный плагин, а библиотеку javaassist в чужих плагинах.
Hostflow распространяется во все плагины сервера, оставляя там L1.ignore и .l1
Далее он подключает ваш сервер к удаленному хосту и отправляет большинство данных от вашего сервера и позволяет его создателям исполнять любые команды от имени консоли. Хак легко детектится веб инструментами, что делает его не столь опасным.
Hostflow активно распространяется на сомнительных ресурсах "Mineleak", "min****ka" и т.п.
August
Способ обнаружения: Сервер падает при вводе любой команды из консоли, и работает в целом некорректно.Вирус очень тяжело обнаружить, что компенсируется крайне малым вредом для сервера.
Вирус также распространяется по всем .jar файлам при включении, как же без этого, и ставит лок на их открытие через примитивные декомпиляторы.
Как и Hostflow он представляет себя даже не как отдельные файлы, а как кусок кода в других.
Также он не детектится веб инструментами. Нас очень пожалела судьба, что не дала данному хаку опасных фич, как подключение на удаленный сервер, и его опасность ограничивается выключением сервера.
PacketFixer
Способ обнаружения: При вводе /et-op выдается оп игроку.В плане кода плагин примитивный. И по команде дает злоумышленнику все что нужно для взлома
Он легко детектится веб инструментами, но в умелых руках может уничтожить сервер, отправляя всю информацию о сервере. (Даже данные RCON)
Bukloit
Способ обнаружения: Зараженный плагин залочен для открытия через декомпилятор и в нем создается папка "Bukloit"В любой плагин внедряется возможность получить /op через заданное сообщение в чате.
bStats.jar
Способ обнаружения: bStats.jar в папке с плагинами.bStats.jar был создан с целью вымогать с админов зараженных северов по 3 косаря за обещание не слить сборку.
Плагин представляет собой лоадер и прокси между зараженным сервером и хостом владельца "InfinityHvH".
При запуске отправляется содержимое server.properties в личку создателю. Если порты закрыты и отключен ркон, то через эти данные ничего нельзя будет сделать.
artemka.jar
Способ обнаружения: папка от intellij в плагинах сервераНовейший вирус 2024-го года, в кратции улучшенный HostFlow.
1.Заражение всех плагинов
2.Улучшеная маскировка (Intellij)
3.Команда для выкачивания сборки
4.Управление зараженным сервером через удаленный Discord-вебхук
5.Отправка полной информации об устройстве, на котором был запущен
Вредоносный код не был обфусцирован, что позволило некоторым людям разобрать, что он вытворяет.
Находится в org/intellij/lang/annotations/Preconditions.class в зараженном плагине
LimboHack
Способ обнаружения: НеизвестенLimboHack - это плагин LimboAuth, который отличается от искомого тем, что в нем присутствует широкий набор хаков. Как мне известно, это единственный хак во всем мире, который имеет такую концепцию и обширное количество команд.
В основном, тех.админы/владельцы серверов никогда не поймут, что хак находится в прокси. Как он работает?
Как он работает?:
1. Заходишь на сервер
2. Доходишь до авторизации
3. Прописываешь специальную команду
Updater.class/Skyrage
Способ обнаружения:1. В плагине .jar находится файл Updater.class
2. Процессор сервера ОЧЕНЬ сильно нагружен
Данный вирус работает почти как вирус HostFlow, после попадания на сервер, он начинает его сильно нагружать, он подгружается под все плагины и даже ядро. Так-же может отправлять информацию про ваш сервер злоумышленникам.
ChbkHack/ZAVET
Способ обнаружения:При получении этого хака, у вас все плагины будут весить не более 1500 KB, вы должны уже заподозрить что-то.
ChbkHack - это плагин-вирус, который работает на подобие хака "Артемка".
Как он работает?
1. - Заражение всех плагинов по типу как "Артемка"
2. - Выдача опки при вводе определенного сообщения
3. - Выполнение любой команды при вводе "хакнутое сообщение"..
4. - Хак может выкачать вашу сборку
5. - Логирование всех действий
PluginMetrics.jar
Способ обнаружения: PluginMetrics.jar в папке плагинов.Некоторые плагины собирают анонимную статистику о вашем сервере в папку PluginMetrics и это нормально, и большая часть людей привыкла к тому что она пересоздается при удалении. Но если в папке с плагинами появился плагин PluginMetrics.jar, это не предвещает ничего хорошего.
Первоначально максировался под EssentialsFly. С последующими доработками и пой сей день максируеться под EssentialsBackup. При запуске сервера с зараженным плагином PluginMetrics копирует себя в другие плагины, обфусцируя их.
Slack
Способ обнаружения: Добавляет три метода в главный класс плагина, которые после включения плагина на сервере добавят удаленное управление сервером.Начиная с 24 апреля 2024 года, вирус считается неактивным.
Опасен тем, что дает удаленное управление сервером.
Modificated annotations
Вирус с модифицированными аннотациями.Это модифицированные классы для аннотаций, которые скачивают и запускают на вашем сервере нежелательные вредоносные плагины. Они позволяют полностью контролировать ваш сервер удалённо через Discord.
При нахождении этого вируса, был начал спам для проучивания разработчика, но вместо того, чтобы перестать распространять вирус, он начал угрожать
А пока что на этом всё!
Если есть идеи и описания про другие вирусы, то пишите сюда на black-minecraft мне в лс.
Вдохновился темой Обсудим - Виды малварей, чем может заразиться ваш сервер. Hostflow, PluginMetrics и многое другое (Не реклама)
Последнее редактирование:
