Взлом сервера

Здраствуйте форумчане, впервые пишу что-либо на форуме.
Постараюсь кратко разьяснить ситуацию...

Вчера на сервере отправлялись "/say [Server] /// SERVXR HXCKED BY AMNESXA ///"
После чего 3 раза пытался посмотреть онлайн сервера и больше ничего не происходило.
Проверял консоль на хостинге и её логи, вроде как с хостингом никак не связано.
Проверил отправления в дискорде (у меня есть консоль в дискорде через DiscordSRV), там тоже ничего.

Соответственно либо это взлом на уровне хостинга, либо какой-то из плагинов.
Был ещё открыт RCON, но подключений к нему тоже не было, он был включен для разработки и тестировки сайта.

Благо это сервер для разработки сборки и ничего критического не произошло, но боюсь чтобы такого не произошло при открытии проекта.
Поэтому обращаюсь к вам за помощью от безысходности.

Вот логи консоли:

[Sun 16:55:27 INFO Server/MinecraftServer] [Server] /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA ///
[Sun 16:57:36 INFO Server/MinecraftServer] [Server] /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA /// /// SERVXR HXCKED BY AMNESXA ///
[Sun 16:58:07 INFO ] Unknown command. Type "/help" for help.
[Sun 16:58:12 INFO ] Unknown command. Type "/help" for help.
[Sun 16:58:22 INFO ] Эту команду нужно использовать с игроком.
[Sun 16:58:45 INFO ] ======================== [Sun 16:58:45 INFO ] Игроки онлайн 0/120 [Sun 16:58:45 INFO ] ========================

Ставили AntiMalware, вот какие результаты он нам дал:

[18:49:31] [DETECTED]: plugins/SkinsRestorer.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: net/skinsrestorer/bukkit/utils/OPRefreshUtil ; SourceFile/Line OPRefreshUtil.java/45
[18:49:35] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.G Class Path: com/Zrips/CMI/Modules/Placeholders/Placeholder$CMIPlaceHolders ; SourceFile/Line Placeholder.java/1
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_20_R4 ; SourceFile/Line v1_20_R4.java/177
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_20_R3 ; SourceFile/Line v1_20_R3.java/176
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_20_R2 ; SourceFile/Line v1_20_R2.java/175
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_20_R1 ; SourceFile/Line v1_20_R1.java/188
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_19_R3 ; SourceFile/Line v1_19_R3.java/189
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_19_R2 ; SourceFile/Line v1_19_R2.java/188
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_19_R1 ; SourceFile/Line v1_19_R1.java/204
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_18_R2 ; SourceFile/Line v1_18_R2.java/202
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_18_R1 ; SourceFile/Line v1_18_R1.java/197
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_17_R1 ; SourceFile/Line v1_17_R1.java/192
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_15_R1 ; SourceFile/Line v1_15_R1.java/162
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_21_R1 ; SourceFile/Line v1_21_R1.java/174
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_14_R1 ; SourceFile/Line v1_14_R1.java/166
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_12_R1 ; SourceFile/Line v1_12_R1.java/149
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_11_R1 ; SourceFile/Line v1_11_R1.java/136
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_10_R1 ; SourceFile/Line v1_10_R1.java/129
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_9_R2 ; SourceFile/Line v1_9_R2.java/122
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_8_R3 ; SourceFile/Line v1_8_R3.java/118
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_16_R3 ; SourceFile/Line v1_16_R3.java/169
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_7_R4 ; SourceFile/Line v1_7_R4.java/94
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_13_R2 ; SourceFile/Line v1_13_R2.java/149
[18:49:37] [DETECTED]: plugins/CMI-9.7.4.1.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class Path: com/Zrips/CMI/NBT/v1_16_R2 ; SourceFile/Line v1_16_R2.java/165
[18:49:38] [DETECTED]: plugins/BLib-1.0.9.jar MIGHT be infected with Spigot.MALWARE.SystemAccess.Exec Class Path: org/by1337/blib/minimessage/libs/org/fusesource/jansi/internal/OSInfo ; SourceFile/Line OSInfo.java/56
[18:49:41] [DETECTED]: plugins/DiscordSRV-Build-1.27.0.jar MIGHT be infected with Spigot.MALWARE.SystemAccess.Exec Class Path: github/scarsz/discordsrv/dependencies/minidns/dnsserverlookup/AndroidUsingExec ; SourceFile/Line AndroidUsingExec.java/34
[18:49:42] [DETECTED]: plugins/MMOItems-6.9.4.jar MIGHT be infected with Spigot.MALWARE.StorageShelfs/ANNOYANCE.Z3 Class Path: plugin.yml ; SourceFile/Line plugin.yml/-1
[18:49:42] [DETECTED]: plugins/MMOItems-6.9.4.jar MIGHT be infected with Spigot.MALWARE.StorageShelfs/ANNOYANCE.Z3 Class Path: plugin.yml ; SourceFile/Line plugin.yml/-1

На сервер никто не заходил и команды отправлялись полностью через консоль, на сервере авторизации нету, так как сервер предназначен просто для разработки сборок и их тестов, но при этом все аккаунты с правами проверили, айпи наши, то есть никакие права и тому подобное в самой игре не выдавались, а команды полностью через консоль, то есть либо плагины, либо хостинг.

CMI и MMOItems куплены и скачаны с офф.сайтов
Поэтому круг подозреваемых сужается до 3-ех плагинов:

• SkinsRestorer
• BLib (библиотека для bAirDropX)
• DiscordSRV

Вот список плагинов на момент взлома:

• ajLeaderboards
• AnarchyUtils
• antiRedstoneClock
• AntiStringDupe
• BAirDropX
• BKCommonLib
• BLib
• BlockSyntax*
• ChatEx
• Chunky
• Citizens
• CMI
• CMILib
• ConditionalEvents
• DecentHolograms
• DeluxeMenus
• DiscordSRV
• DonateCase
• FastAsyncVoxelSniper
• FastAsyncWorldEdit (WorldEdit)
• HideStream*
• HolographicDisplays
• IllegalStack
• ImageOnMap
• LiteBans
• LuckPerms
• Matrix
• MMOItems
• MVdWPlaceholderAPI*
• My_Worlds
• MyCommand
• MythicLib
• NBTAPI
• NoBedDupeFix
• PL-Hide
• PlaceholderAPI
• PlayerPoints
• PlayerStats
• PlugManX (PlugMan)
• ProtocolLib
• SCore
• ShameBan
• SkinsRestorer
• spark
• TAB
• TigerReports
• UltimateAirdrops
• UltimateCheatCheck
• UltimateClans
• Vault
• ViaVersion
• WGExtender
• WorldGuard

Ядро сервера: git-Purpur-1171
Хостинг тестового сервера: Hosting-Minecraft ru

Добавлю ещё что на новый хак "Artemka" тоже плагины проверял, ничего не нашёл.
Надеюсь на вашу помощь, если нужна какая-то доп.информация - говорите.

 

/rem

 

blib мб. он нн.

 

Удали плугман.

 

Да порты открыты мб и всё

 

@Karnevka, в каждом плагине бывают хаки, например как код: #dfhkshlahdfiwrfgkskgeof, либо txt файлы, нужна смотреть на наличие таких кодов, через них и взламывают сервера.

 

@Dennnnnnnn, #dfhkshlahdfiwrfgkskgeof и подобные комментарии в yml файлах это копирайт от сайтов откуда качается ресурс. В нём зашифрован ID скачавшего пользователя и временная метка (timestamp)
Опасности не несёт, служит лишь для того чтоб администратор сайта откуда ты это качал смог узнать кто к примеру слил ресурс на другой сайт.

 

BLib надо было скачивать из дисковода разработчика только там оригинал и там он точно без вирусов.

Никаких особых предупреждений AntiMalware тебе не дал ForceOP в cmi то известно информация о ОС(это хз какую он инфу ищет)