发表此帖的主要原因:看到 yumc 在末地之路发布的申请解封帖,以及同属 “银河系气.功协会” 群组的 jiongjionger 的支持言论。我没满十级,所以只能发到这里了。
https://www.mcbbs.net/thread-1454182-1-1.html
1. 远程执行代码你可以解释为不小心加入的,但是版规中也明确说明 “不得以后门未启用为借口放入后门”。甚至远程执行代码是启用状态的,每次启用插件都会调用。如果这也能成为解释的原因,那么人人都可以加后门,人人都可以以此解封。
2. 无法证明 “存在期间未造成任何危害”,yumc 的系列插件不仅包含远程执行代码,同样收集并提交服务器的相关信息(例如端口,我也不理解为什么要在免费插件里收集端口号,bstats 等统计平台也不会收集端口号,这已经超出了必要的统计信息、IP 地址可以通过接收这些信息的同时获得,yumc 很可能也记录了 IP 地址)。收集完信息之后,完全可以针对特定机器返回特定恶意代码。并且无人可以证明,远程执行的代码在这几年里就不曾包含过恶意代码。yumc 无法自证这点。
3. 为何要使用 RCE?yumc 解释称 “这是一种最简单有效的方案,在被破解后可以快速升级更新。”,这是无法立足的解释。调用的 RCE 仅在 start() 函数调用到,这破解难度远低于写死在代码的各处。
4. 谎称的 “另经过对MCBBS所有插件的排查,其他在MCBBS发布的插件版本均无携带反盗.版功能。”,这简直就是撒谎。我下载的 Yum 2.9.5-git-18dc99e78ee6c087da72f944be32e90e5c93b3a5。其代码中就包含了相同的 RCE 内容,但与 MiaoChat 不同的是,调用位置不同,MiaoChat 是 ChatListener,而 Yum 是主函数。这些调用位置均为手动添加,也不存在通用仓库的做法。RCE 代码可能会是通用仓库、但调用 RCE 的位置绝对是手动故意为之。
附图,插件副本见附件:
5. 关于 jiongjionger 所说的 “就目前的实现和历史快照来看,均没有任何恶意代码。”,我在 Wayback Machine 上只找到了两次抓取,分别是 2022.12.7 和 2023.5.23,而目前根据我手上有的 MiaoChat 和 Yum 插件副本,远程执行代码最迟在 2022 年中旬就已经存在,而且快照平台的数据严重不足。如果能找到其他第三方平台的快照,望列出。并且快照无法证明没有添加过恶意代码,有可能在抓取间隙添加恶意代码,得逞后恢复原状,又或者根据不同用户返回不同代码。
(我保存的历史版本的 yumc 插件不多,欢迎坛友把你们下载的相关插件历史版本发给我,不太清楚其他插件如何,也可便于判断恶意代码从何时添加)
另外我说句难听的,往最坏了想:yumc 假设就是故意放置 RCE。可以辩解没做过坏事,反正没人可以证明。可以说不小心添加,说是反盗.版。但是事实有两点:RCE 是你添加的,调用 RCE 的是你逐个手动添加的。
另外,论坛截至目前未按版规对 “yumc” 进行晒尸。并且我建议对其封杀并列入黑名单,禁止再次注册小号。封禁 yumc 在论坛宣传的其他账号,例如宣传的“*戏时刻”
附申请解封帖原文截图,以免翻供(改称没有检查清楚,改称不止 MiaoChat 包含 RCE 等):
望论坛予以公正处罚,不为曾经的贡献而开绿灯、给特权,曾经贡献更为多的“乙烯_中国”违规同样被封禁,应当遏制恶意后门的行为。
https://www.mcbbs.net/thread-1454182-1-1.html
1. 远程执行代码你可以解释为不小心加入的,但是版规中也明确说明 “不得以后门未启用为借口放入后门”。甚至远程执行代码是启用状态的,每次启用插件都会调用。如果这也能成为解释的原因,那么人人都可以加后门,人人都可以以此解封。
2. 无法证明 “存在期间未造成任何危害”,yumc 的系列插件不仅包含远程执行代码,同样收集并提交服务器的相关信息(例如端口,我也不理解为什么要在免费插件里收集端口号,bstats 等统计平台也不会收集端口号,这已经超出了必要的统计信息、IP 地址可以通过接收这些信息的同时获得,yumc 很可能也记录了 IP 地址)。收集完信息之后,完全可以针对特定机器返回特定恶意代码。并且无人可以证明,远程执行的代码在这几年里就不曾包含过恶意代码。yumc 无法自证这点。
3. 为何要使用 RCE?yumc 解释称 “这是一种最简单有效的方案,在被破解后可以快速升级更新。”,这是无法立足的解释。调用的 RCE 仅在 start() 函数调用到,这破解难度远低于写死在代码的各处。
4. 谎称的 “另经过对MCBBS所有插件的排查,其他在MCBBS发布的插件版本均无携带反盗.版功能。”,这简直就是撒谎。我下载的 Yum 2.9.5-git-18dc99e78ee6c087da72f944be32e90e5c93b3a5。其代码中就包含了相同的 RCE 内容,但与 MiaoChat 不同的是,调用位置不同,MiaoChat 是 ChatListener,而 Yum 是主函数。这些调用位置均为手动添加,也不存在通用仓库的做法。RCE 代码可能会是通用仓库、但调用 RCE 的位置绝对是手动故意为之。
附图,插件副本见附件:
5. 关于 jiongjionger 所说的 “就目前的实现和历史快照来看,均没有任何恶意代码。”,我在 Wayback Machine 上只找到了两次抓取,分别是 2022.12.7 和 2023.5.23,而目前根据我手上有的 MiaoChat 和 Yum 插件副本,远程执行代码最迟在 2022 年中旬就已经存在,而且快照平台的数据严重不足。如果能找到其他第三方平台的快照,望列出。并且快照无法证明没有添加过恶意代码,有可能在抓取间隙添加恶意代码,得逞后恢复原状,又或者根据不同用户返回不同代码。
(我保存的历史版本的 yumc 插件不多,欢迎坛友把你们下载的相关插件历史版本发给我,不太清楚其他插件如何,也可便于判断恶意代码从何时添加)
另外我说句难听的,往最坏了想:yumc 假设就是故意放置 RCE。可以辩解没做过坏事,反正没人可以证明。可以说不小心添加,说是反盗.版。但是事实有两点:RCE 是你添加的,调用 RCE 的是你逐个手动添加的。
另外,论坛截至目前未按版规对 “yumc” 进行晒尸。并且我建议对其封杀并列入黑名单,禁止再次注册小号。封禁 yumc 在论坛宣传的其他账号,例如宣传的“*戏时刻”
附申请解封帖原文截图,以免翻供(改称没有检查清楚,改称不止 MiaoChat 包含 RCE 等):
望论坛予以公正处罚,不为曾经的贡献而开绿灯、给特权,曾经贡献更为多的“乙烯_中国”违规同样被封禁,应当遏制恶意后门的行为。