MCBBS纪念版 BBSPK晋级赛

请各位服主注意,本站出现恶意后门插件!

作者: john180

时间: 2015-12-26 23:19:00 版块: 公告和反馈

本帖最后由 john180 于 2015-12-27 00:21 编辑

关于论坛出现恶意后门插件公告

涉及插件
本次涉及到的恶意插件包括由502647092发布的全部3款插件.
http://www.mcbbs.net/thread-528884-1-1.html
http://www.mcbbs.net/thread-525377-1-1.html
http://www.mcbbs.net/thread-510713-1-1.html

(如果在服务端plugins文件夹内发现 PluginHelper 文件夹那么很有可能你安装了包含此后门的插件)

后门效果
插件自带了一个ddos模块,会自动从作者网站获取ddos目标信息.
包括目标服务器IP,端口号,数据包大小,发送时间等信息.
然后开始在后台自动发起ddos攻击.所有安装此插件的服务器都将成为插件作者的肉鸡.

部分代码截图

解决方法
1.请所有下载并使用此插件并的服主立刻卸载此插件.
2.如实在想使用这些插件,请在服务器上屏蔽yum.citycraft.cn此网址,可阻止插件获取ddos服务器信息.(修改hosts文件教程)

而此插件作者502647092则永久禁言,望各位原创插件作者引以为戒.

回复:

爱杂食的圳

本帖最后由爱杂食的圳于 2015-12-26 23:24 编辑

哎…没想到一直在用的重制的插件居然是后门…
果然插件版原创/重制插件还需要谨慎下载…
【话说屏蔽？怎么屏蔽？在Hosts中设置吗？】

2015-12-26 23:21:00

snowclay

安装原创插件需谨慎。。即使你反编译过了也记得关闭自动更新

2015-12-26 23:23:00

MuChenyu

本帖最后由 MuChenyu 于 2015-12-26 23:29 编辑

请各位服主注意！！！这两个我都装了，真是B了狗了！

【如何屏蔽？】

2015-12-26 23:23:00

tsd1

后门层出不穷……
希望各位引以为戒
不要干此类事情

2015-12-26 23:24:00

kaho

防不胜防啊...

2015-12-26 23:24:00

LittleSkep

［这- -还好我没下载他发的插件］

2015-12-26 23:25:00

cs1000

我TM以为终于有重制版的好插件了，没想到居然有后门！
真是服了！狗带去吧

2015-12-26 23:26:00

Tony🐴

防不胜防啊←_←诶

2015-12-26 23:27:00

爱杂食的圳

迷踪发表于 2015-12-26 23:25
［这- -还好我没下载他发的插件］

其实他的插件很有用的…只是用在了不正确的地方…
不过那个重制的领地插件已经发布了很久了吧？为什么没有人早点发现呢？
不会是作者后来才添加的吧？

2015-12-26 23:27:00

韩彬妹纸

提示: 作者被禁止或删除内容自动屏蔽

2015-12-26 23:28:00

mopolun520

哎多好的插件啊

2015-12-26 23:31:00

LittleSkep

［他是喵大啊貌似尘曲的好朋友怎么会做出这样的事情... 或许是被盗号了..］

2015-12-26 23:32:00

韩彬妹纸

提示: 作者被禁止或删除内容自动屏蔽

2015-12-26 23:34:00

wormz

不用国产就不会死wwwww

2015-12-26 23:37:00

ufof

闭源插件/mod还能不能让人相信？

2015-12-26 23:39:00

yyeerai

这个这位作者所有源码https://coding.net/u/502647092，如果有人继续要使用，就自己构建，移除所有恶意代码，还是可以继续用的

2015-12-26 23:39:00

1606140786

可惜了，我的喵大大，走好
他的只是公用插件库出现恶意代码。。。

2015-12-26 23:40:00

qiu1995

本帖最后由 qiu1995 于 2015-12-27 15:52 编辑

看到这条消息，虽然很想说点什么，但是还是算了。水太深了，我只能上岸。

2015-12-26 23:40:00

langyo

不该永久禁言，永久禁止访问才对

社会的败类，凭着自己一点技术害人，孬种

这跟那些建伪基站发病毒、小广告的人还能有什么区别？

2015-12-26 23:43:00

LittleSkep

本帖最后由迷踪于 2015-12-27 00:03 编辑

韩彬妹纸发表于 2015-12-26 23:34
作者在插件群内申明如图是后来家的，一开始用来检测更新的，后来就变成了后门 ...

［~~测试完了就应该删掉吧留着做什么呢说不定就恶意报复了~~ 不懂Java的我无视前面的话- - 嘛...终究被认为是后门,反正MCBBS严禁出现这种事的］

2015-12-26 23:44:00

芒果苦力怕

2015-12-26 23:45:00

韩彬妹纸

提示: 作者被禁止或删除内容自动屏蔽

2015-12-26 23:50:00

芒果苦力怕

韩彬妹纸发表于 2015-12-26 23:50
经检查发现还有与citycraft关联网站：http://ci.sumcraft.net:8080/
请各腐竹也一并添加至host库 ...

我想说你看到那个库里有梦梦的插件了吗

2015-12-26 23:52:00

芒果苦力怕

迷踪发表于 2015-12-26 23:44
［测试完了就应该删掉吧留着做什么呢说不定就恶意报复了嘛...终究被认为是后门,MCBBS严禁出现这种事的 ...

不懂JAVA别说话

2015-12-26 23:52:00

韩彬妹纸

提示: 作者被禁止或删除内容自动屏蔽

2015-12-26 23:54:00

查森SK

科科完全看不懂..

2015-12-27 00:01:00

千飞那个夏

qiu1995 发表于 2015-12-26 23:40
看到这条消息，虽然很想说点什么，但是还是算了。我也知道BBS也有自己的顾虑，清者自清，我也不想多说什么 ...

是的，清者自清。
至于有些人，有些话也就不多说了。
吾等还是老实围观就好

2015-12-27 00:05:00

jianghr

本帖最后由 jianghr 于 2015-12-27 00:11 编辑

韩彬妹纸发表于 2015-12-26 23:34
作者在插件群内申明如图是后来家的，一开始用来检测更新的，后来就变成了后门 ...

然而后门的强制与否肉鸡并没有选择权。压测也并不需要他自己的带宽或流量。
最后一句亮了。

2015-12-27 00:07:00

韩彬妹纸

提示: 作者被禁止或删除内容自动屏蔽

2015-12-27 00:10:00

mc大龟

yyeerai 发表于 2015-12-26 23:39
这个这位作者所有源码https://coding.net/u/502647092，如果有人继续要使用，就自己构建，移除所有恶意代码 ...

顶一个+++++++++++++++++++++++

2015-12-27 00:16:00

mc大龟

力挺，居然坑我们这种小白，还是一个群里面的，我估计要收费D我们的服务器，人心险恶，力挺版主

2015-12-27 00:16:00

Grave_tiger

如此恶劣，该诛九族！

2015-12-27 00:17:00

asd59612

听说一开始还是没加的后来说是方便更新加了然后就呵呵后门这玩意无论是用于做什么都不是一件好事天堂往左地狱往右你今天可以帮别人测试服务器压力用这些后门捕捉肉鸡难保他日你用这后门做更多非法的是谁敢给你担保

2015-12-27 00:19:00

sofa

爱杂食的圳发表于 2015-12-26 23:21
哎…没想到一直在用的重制的插件居然是后门…
果然插件版原创/重制插件还需要谨慎下载…
【话说屏蔽？怎么 ...

网页后台服没法屏蔽的，因为要修改到系统里的hosts，网页后台没这权限，独立服或vps才能改

2015-12-27 00:31:00

cookiefox

我已开启喷他kill模式 citycraft.cn/blog/ 这是那货的BLOG。怎么攻击是你们自己的事了~

2015-12-27 00:45:00

匿名

本帖最后由匿名于 2015-12-27 14:32 编辑

想想还是匿名了。
其实我个人觉得没什么好争辩的，甚至毫无回旋的余地。没有经过腐竹的许可，擅自控制他人服务器发起DDOS，无论理由是测试还是别的什么，都改变不了事实——插件自带后门，作者擅自控制他人服务器。

某些洗地的也是醉了，正如插件作者自己的话，爱用就用，不用就滚。自己爱当肉鸡能有啥办法？

最后说下，他今天能利用自动更新让你消耗服务器宽带和资源“测试”DDOS其他服务器，说不准哪天就是添加个远程桌面权限，下载数据，甚至格式化整个硬盘。看到这里如果还觉得MCBBS版主都是权限狗，冤枉了一位伟大、无私的技术大拿，麻烦留言回复下。我想看看都是些什么人。

补充：

看了下洗地的集中在对方没有真正开启DDOS模块和手误才加入的DDOS代码。我也是醉到不行。

DDOS开启的开关在远程URL，他想改就改的东西有什么好说的？
手误才加入的DDOS模块？DDOS代码不是他自己写的？是天上掉下来的么？手误能手误到所有他重制的插件都包含？还自动更新到有后门的版本？

还说看过源码的都笑了，让MCBSS版主提高代码水平。源码清清楚楚的显示只要他在特定URL添加地址，就能让所有安装这个插件的服务器自动、循环的消耗自身资源和宽带的对列表内的地址发送指定长度的流量包，这有什么好辩解的？威力小就是恶作剧？但是威力真的小么？对于用VPS和云主机的腐竹来说，上行宽带直接被耗尽。上千台安装了他插件的服务器能打出多少流量自己算算。攻击能力已经可以秒杀任何没硬防的服务器了。

另外发个图，不多说什么。

2015-12-27 01:07:00

117779284

我感觉就是因为用了他的插件后服务器就开始变卡了····

2015-12-27 02:03:00

DarcJC

谢谢楼主。我已经修改HOSTS了= -
附上ubuntu修改方法
sudo vi /etc/hosts
输入i
添加一行"127.0.0.1 yum.citycraft.cn"
按ESC。输入:wq!
重启network.输入 sudo /etc/init.d/networking restart

2015-12-27 02:23:00

TU_SI

。。。太恐怖惹{:10_529:}

2015-12-27 03:25:00

TU_SI

然而对于我这个连服务器都没有的人有什么用呢23333

2015-12-27 03:26:00

领军人物

虽然作者这种行为让人发指
但是这个插件真心的不错
希望有大大能够消除这个后门再发出来

2015-12-27 07:04:00

海牛的麻烦

总是有心存侥幸的

2015-12-27 07:06:00

木琴

→_→具体情况，我也明白了，这种事情表示，我已经习惯了。

2015-12-27 08:21:00

断弦∑

MuChenyu 发表于 2015-12-26 23:23
请各位服主注意！！！这两个我都装了，真是B了狗了！

【如何屏蔽？】

这么巧我也是

2015-12-27 08:28:00

qq1468993126

还好昨天我就知道了，某人截图我还以为是假的

2015-12-27 08:28:00

xRPQx

那个重置的领地插件，我记得那个作者还让我们测试找BUG呢，还好没装，，

2015-12-27 08:33:00

MRTangwin8

再次出现了后门插件
这种性质比上次的那个更严重
有点木马的性质了

2015-12-27 08:37:00

gonglinyuan

个人感觉这就是插件圈子和MOD圈子的区别了。MOD圈子还是很公开透明的，大部分MOD都开源，少数不开源的比如IC、TE之类的MOD也是历史悠久的老牌MOD了，不可能砸自己招牌的。而插件圈子自从CraftBukkit倒了之后很多插件都开始秘密研发，不仅新手服主很难找到版本新、功能全的插件，甚至还有可能因为后门插件蒙受损失，毕竟他们不可能像大型服务器聘请程序员定做插件。

就因为有把别人的插件改一改、加点后门就拿出来发布的败类，于是插件作者都不愿意开源；能保证100%安全的开源插件少了，服主们也就不得已使用闭源、甚至带有后门的插件。这是一个恶性循环，希望大家能引起重视。

2015-12-27 08:39:00

MRTangwin8

匿名者发表于 2015-12-27 01:07
想想还是匿名了。
其实我个人觉得没什么好争辩的，甚至毫无回旋的余地。没有经过腐竹的许可，擅自控制他人 ...

这插件有点木马的性质了。。
有些木马本身程序并不包含恶意代码，联网下载一个恶意插件，~~骗过了安全软件~~
其实自动更新模块只要不向恶性方向利用，就是个好模块。

在此支持你的观点（不能对匿名贴评分，见谅。。）

2015-12-27 08:44:00

鸭蛋只吃黄

没所谓。。。我的服连玩家都没有，后门就后门吧，，，，，
（不过后门插件还是应该制止的）

2015-12-27 08:48:00

Raymond_Min

http://yum.citycraft.cn/I/DDOS/getList

{"ddosList":[{"id":"1","name":"\u672c\u5730\u6d4b\u8bd5","ip":"127.0.0.1","port":"25565","packet":"4096","times":"20","enable":"0","enbale":"0"},{"id":"2","name":"MFCRAFT","ip":"125.88.182.22","port":"25510","packet":"40960","times":"500","enable":"0","enbale":"0"},{"id":"3","name":"MFPAY","ip":"125.88.182.22","port":"25510","packet":"40960","times":"200","enable":"0","enbale":"0"},{"id":"4","name":"MF\u751f\u5b58\u4e00\u533a","ip":"125.88.182.22","port":"25510","packet":"40960","times":"200","enable":"0","enbale":"0"}]}

复制代码

2015-12-27 08:54:00

asjkdaskljda

喜闻乐见
NO ZUO NO DIE!

2015-12-27 08:55:00

Thorn_Arnor

本帖最后由 Thorn_Arnor 于 2015-12-27 09:52 编辑

~~这么好的插件为什么要删除~~

2015-12-27 09:41:00

圣灬天国

能否出一个详细的屏蔽教程

2015-12-27 09:41:00

geyumei

这货太贱了！必须严惩！

2015-12-27 09:42:00

啊木哥

机智的我并没有用其中一个233333但是服务器还是被ddos了

2015-12-27 09:57:00

zylggg

私以为,以作者的段位,还不至于就明文写端代码广而告之,这是DDOS....
当事人也解释了,属于手贱,加班赶工造成失误,此模块自动shade到各个插件了.
他若是要抓鸡,方法可多了,并不稀得明文代码发动攻击.
我相信其属于失误而不是恶意怎么的,也还说不到道德层面那么上纲上线.
但MCBBS管理层必须严肃处理并公告,这也是合情合理的,有各自的立场.
往回帖者不要再一惊一乍的,没有那么玄乎.

2015-12-27 09:58:00

雪狼神

幸好自己有233就没下载

2015-12-27 10:00:00

KIUJG

呵呵呵我该支持谁啊

2015-12-27 10:22:00

gonglinyuan

zylggg 发表于 2015-12-27 09:58
私以为,以作者的段位,还不至于就明文写端代码广而告之,这是DDOS....
当事人也解释了,属于手贱,加班赶工造成 ...

不要再给他洗白了
退一万步说，DDOS本身就属于黑客攻击，是违法行为，不管是出于什么目的
他把代码写明、甚至没有混淆，更能说明他是有多么无耻，甚至可能以为DDOS别人是理所应当的事情
一个程序员这么点道德修养都没有，是很危险的，应该全面封杀才对

2015-12-27 10:28:00

匿名

避嫌还是用匿名了，下载了插件看了下源码，这个DDOS模块并没有启用，希望能够别因此做出这种惩罚，通知作者相关源码删除即可，也希望以后mcbbs下定论前看！清！源！码！，这个作者还是可信的，请不要把别人说的这么该死。

2015-12-27 10:35:00

ebacksee

机智如我，单机好

2015-12-27 10:42:00

优妹酱

匿名者发表于 2015-12-27 10:35
避嫌还是用匿名了，下载了插件看了下源码，这个DDOS模块并没有启用，希望能够别因此做出这种惩罚，通知作者 ...

私自埋雷也是不对的呀，这是一个公共平台，一启用不知道炸死多少个人。

2015-12-27 10:49:00

gonglinyuan

匿名者发表于 2015-12-27 10:35
避嫌还是用匿名了，下载了插件看了下源码，这个DDOS模块并没有启用，希望能够别因此做出这种惩罚，通知作者 ...

这个插件是有自动更新的它随时可能启用

2015-12-27 11:10:00

dhji

snowclay 发表于 2015-12-26 23:23
安装原创插件需谨慎。。即使你反编译过了也记得关闭自动更新

頭像不是台灣雷亞的Cytus么？！

2015-12-27 11:11:00

cyqsimon

以我的java水平居然看懂代码了

不可思议

2015-12-27 11:32:00

LINCHUTI

希望有大大把这些插件去恶意代码后重新发出

2015-12-27 11:35:00

匿名

gonglinyuan 发表于 2015-12-27 11:10
这个插件是有自动更新的它随时可能启用

这个自动更新也是要服主允许才能更新的，需要输入指令插件才会进行更新

2015-12-27 11:38:00

LINCHUTI

匿名者发表于 2015-12-27 11:38
这个自动更新也是要服主允许才能更新的，需要输入指令插件才会进行更新
...

不是所有腐竹都不更新

2015-12-27 11:42:00

无为之才

snowclay 发表于 2015-12-26 23:23
安装原创插件需谨慎。。即使你反编译过了也记得关闭自动更新

插件有风险，安装需谨慎。。。谨记重制版插件的风险

2015-12-27 12:01:00

龙玉涛

117779284 发表于 2015-12-27 02:03
我感觉就是因为用了他的插件后服务器就开始变卡了····

我tps就8...不用方

2015-12-27 12:03:00

pk小国

韩彬妹纸发表于 2015-12-26 23:34
作者在插件群内申明如图是后来家的，一开始用来检测更新的，后来就变成了后门 ...

逗逼么，，压测不要带宽。。。。

2015-12-27 12:08:00

sjjklh

zylggg 发表于 2015-12-27 09:58
私以为,以作者的段位,还不至于就明文写端代码广而告之,这是DDOS....
当事人也解释了,属于手贱,加班赶工造成 ...

我埋个雷，我没引爆，你们为什么要对我这样，爱用用不用滚

2015-12-27 12:18:00

Wsbyeah

吓得我直接把收藏夹里的连杀插件给删除了

2015-12-27 12:40:00

andylizi

非常有趣

2015-12-27 13:30:00

andylizi

芒果苦力怕发表于 2015-12-26 23:52
我想说你看到那个库里有梦梦的插件了吗

呵呵，那你看到里面有HMCL了吗
把这些开源项目拿去魔改是什么意思
还有你上次给我的那个ProtocolLib的链接，就是citycraft里出来的

2015-12-27 13:37:00

青格大D

刚好我准备开服，差点下了这个{:10_564:}

2015-12-27 14:52:00

mine米

于是自作自受……

2015-12-27 15:11:00

时光如年i

可恶至极！

2015-12-27 15:33:00

芒果苦力怕

andylizi 发表于 2015-12-27 13:37
呵呵，那你看到里面有HMCL了吗
把这些开源项目拿去魔改是什么意思
还有你上次给我的那个ProtocolLib的链 ...

上次给我的那个ProtocolLib的链接，就是citycraft里出来的

是啊，那个应该没加ddos代码吧

2015-12-27 15:36:00

a1093663086

提示: 作者被禁止或删除内容自动屏蔽

2015-12-27 15:52:00

龙腾猫跃

又有人作死啊

2015-12-27 15:56:00

a08381

本帖最后由 a08381 于 2015-12-27 16:19 编辑

andylizi 发表于 2015-12-27 13:37
呵呵，那你看到里面有HMCL了吗
把这些开源项目拿去魔改是什么意思
还有你上次给我的那个ProtocolLib的链 ...

HMCL和ProtocolLib是我构建的用的，直接用的作者的git仓库，sumcraft构建站也不是他的，随你们屏蔽，另外，希望你自己去看看那所谓的DDOS代码，别捕风捉影说些有的没的，以前对你印象挺不错的，希望你不要人云亦云

补充内容：（2015年12月27日16点20分）

说完我就去那个构建站删除了HMCL和ProtocolLib

2015-12-27 16:12:00

andylizi

a08381 发表于 2015-12-27 16:12
HMCL和ProtocolLib是我构建的用的，直接用的作者的git仓库，sumcraft构建站也不是他的，随你们屏蔽，另外 ...

我并没有说过那个仓库里的东西都有DDOS代码（我自己去检查过），但此贴给出的那几个插件我也是看过的。不是很明白你的意思

2015-12-27 16:19:00

a08381

本帖最后由 a08381 于 2015-12-27 16:48 编辑

andylizi 发表于 2015-12-27 16:19
我并没有说过那个仓库里的东西都有DDOS代码（我自己去检查过），但此贴给出的那几个插件我也是看过的。不 ...

我不能说他把DDOS代码放进插件里这件事是对的，但是实际上，那段代码只和ping的威力差不多，而且确实是最近zxc找他写代码的时候一堆人操作PluginHelper类库混进去的（实际上这个PluginHelper仓库有个dev分支，代码要从dev分支移动到master分支才会最后出现在插件里，不过最近几天他把PluginHelper仓库的编辑权限给了好几个人，也没法确定是谁推的还直接推到master里去了，他自己也一副懒得解释的样子。。。。。。）

补充内容：（2015年12月27日16时48分）

补图一张