- 586
- 32
- 136
Доброго времени суток. Решил написать после обнаружения большого бэкдора в одном моде(Alfheim). Он ПРЕДУСМОТРЕН автором. Почему туда полез? Ко мне обратился знакомый администратор, к которому пришли на проект и воспользовались этим бэкдором с целью украсть наработки и развалить сервер. Данный субъект пришел на проект провел махинацию, которую НЕЛЬЗЯ, не зная заранее отследить. Получил себе OP, ему выдало предмет(из свого же мода) на сайлент ГМ 0-1 , и пошел разваливать сервер, полез менять квесты, лут с мобов, ну и рекламить свой проект(FDWorlds).
Ну что же теперь к сути самой проблемы. В моде написан код который позволяет это сделать на любом проекте, на котором установлен данный мод. Что и как происходит? Заходят к вам на сервер на котором установлен данный мод, и с помощью входа в внутреннею систему авторизации, получает права на вашем сервере. Какие? -От любого предмета в инвентарь до operator и gamemode. Автор мода сделал такой бэкдор для себя и друзей. Скрины кода предоставлю ниже. Но что самое интересное что, база данных с аккаунтами находиться удаленно(файл BitBucket), которую он может редактировать в любой момент. Я полез еще дальше ковыряться в этом коде и обнаружил что автор поступил очень хитро. В сорцах на BitBucket`e вырезан бэкдор, но его личная система авторизации все равно присутствует. На curse лежит собранная версия с полным пакетом говна которая при желании убьет любой сервер =). Собственно разбор бэкдора с пруфами.(начинаем с ...core.hanlder.KeyBindingHandler#secret)
Ссылка: https://bitbucket.org/AlexSocol/alfheim/raw/master/hashes.txt
Wayback Machine <- веб архив, если на момент Вашего прочтения он подчистит.
От себя, предлагаю бан аккаунта, как бы мне не хотелось(только туторы его оставьте для будущих читателей форума).
Ну что же теперь к сути самой проблемы. В моде написан код который позволяет это сделать на любом проекте, на котором установлен данный мод. Что и как происходит? Заходят к вам на сервер на котором установлен данный мод, и с помощью входа в внутреннею систему авторизации, получает права на вашем сервере. Какие? -От любого предмета в инвентарь до operator и gamemode. Автор мода сделал такой бэкдор для себя и друзей. Скрины кода предоставлю ниже. Но что самое интересное что, база данных с аккаунтами находиться удаленно(файл BitBucket), которую он может редактировать в любой момент. Я полез еще дальше ковыряться в этом коде и обнаружил что автор поступил очень хитро. В сорцах на BitBucket`e вырезан бэкдор, но его личная система авторизации все равно присутствует. На curse лежит собранная версия с полным пакетом говна которая при желании убьет любой сервер =). Собственно разбор бэкдора с пруфами.(начинаем с ...core.hanlder.KeyBindingHandler#secret)
1.Вход на сервер [alfheim.common.core.helper. ContributorsPrivacyHelper:54] (Инициализируем отправку пакета на сервер)
2. Пакет MessageContributor [alfheim.common.network.MessageContributorHandler:1]
Клиент: считывание авторизационных данных, формирование содержания пакета
Сервер: получение данных и процедура сверки данных с удаленной базой
Сборка пакетов для авторизации всех тех кто есть в списке «тиммейтов».
3. Пакет MessageKeyBindHandler
[alfheim.common.network.MessageKeyBindHandler:1]
Обработка тригеров по нажатию на клавиши.
4. Эти самые обработчики
super()
[alfheim.common.core.handler.KeyBindingHandler. secret():101]
Данная функция выдает права OP авторизованным в системе, если в руках у них 9 палок
Получение хешей из базы:
[alfheim.common.core.helper. ContributorsPrivacyHelper. download():1]
2. Пакет MessageContributor [alfheim.common.network.MessageContributorHandler:1]
Клиент: считывание авторизационных данных, формирование содержания пакета
Сервер: получение данных и процедура сверки данных с удаленной базой
Сборка пакетов для авторизации всех тех кто есть в списке «тиммейтов».
3. Пакет MessageKeyBindHandler
[alfheim.common.network.MessageKeyBindHandler:1]
Обработка тригеров по нажатию на клавиши.
4. Эти самые обработчики
super()
[alfheim.common.core.handler.KeyBindingHandler. secret():101]
Данная функция выдает права OP авторизованным в системе, если в руках у них 9 палок
Получение хешей из базы:
[alfheim.common.core.helper. ContributorsPrivacyHelper. download():1]
Wayback Machine <- веб архив, если на момент Вашего прочтения он подчистит.
От себя, предлагаю бан аккаунта, как бы мне не хотелось(только туторы его оставьте для будущих читателей форума).
Вложения
Последнее редактирование: