本帖最后由 DreamVoid 于 2021-12-19 09:30 编辑

授权搬运

• 前言
  如本贴标题所述，这个软件能够帮助你发现你现在使用的Spigot插件中是否有后门插件（包括查是否有给OP、系统文件访问等相关代码逻辑），对于那些担心自己服务器有后门的服主非常实用。
  再说一次，这个不是Spigot插件，也不是BungeeCord插件，而是一个独立的jar可执行文件（至于为什么发到插件版，见3楼我的回复）
• 如何使用？
  
  • 关闭服务器以确保后门插件没有运行（亲测就算不关闭服务端也能检测）
  • 上传“MCAntiMalware.jar”到你的服务端根目录，使用命令行等能运行命令的东西运行命令“java -jar MCAntiMalware.jar”（是不是很熟悉？就和启动Spigot服务端是一样的）
  • 此时会自动扫描plugins目录下的所有jar文件，并将扫描结果输出到“AntiMalware/logs”文件夹
  • 如果检测到任何后门插件，请打包并使用Discord或PM（SpigotMC）发送给我（作者）（老实说，我觉得发给作者没什么用）
  • 删除发现的后门插件并重新下载你发现的不带后门的插件然后启动服务器
  • 如果你发现后门行为仍然存在，请打包你的服务器jar和插件目录并将其发送给我（作者），然后重新下载所有东西（包括服务端和所有插件）
    
• 命令行参数
  在第2部分的命令后门添加参数“--help”以获得所有帮助信息，这些都是最新的
  实测有这些参数可以用：
  
  1. Option                                Description
     
  2. ------                                -----------
     
  3. --banMalAuthors <Boolean>             Should we ban malicious authors and possible alts (default: true)
     
  4. --disableAutoUpdate <Boolean>         Should auto updating be disabled (default: false)
     
  5. --dumpClasses <Boolean>               Should classes in the classpath be saved (default: false)
     
  6. --help                                Show the help
     
  7. --language <String>                   Changes the language of the program (default: en)
     
  8. --logSM <Boolean>                     Should the SecurityManager log messages (default: true)
     
  9. --notify <String>                     Allows you to set a notification method (Type: console, discord, popup) (default: console)
     
  10. --printNotInfectedMessages <Boolean>  Should not infected messages be shown & logged (default: true)
      
  11. --runSecurityManager <Boolean>        Should the AntiMalware use a custom SecurityManager (default: true)
      
  12. --scanDirectory <String>              Which folder to scan (default: plugins)
      
  13. --scanDrives <Boolean>                Should all drives be scanned? (default: false)
      
  14. --scanFile <String>                   Scan a single file
      
  15. --scanZippedFiles <Boolean>           Should Zipped files be scanned? (Takes up space) (default: true)
      
  16. --serverArguments <String>            Server arguments
      
  17. --serverJar <String>                  Path to the server jar that should be ran
      
  18. --singleScan <Boolean>                Should we only scan once (default: false)
      
  19. --spigotScanner <Boolean>             Should the latest resources be downloaded & scanned? (default: false)
      
  20. --useTransformers <Boolean>           Should custom code be used? (Deals with a variety of methods malicious plugins use) (default: true)
      

  复制代码
  
  
• 特性
  发现超过300个后门插件（来自原帖）
  可以运行7*24小时来提供不间断的保护
  能扫描任何新添加的jar、rar、zip文件
  如果你添加参数“--serverJar <服务器jar的路径>”，本软件可以严格限制后门插件的操作（甚至记录被操作的文件是哪个文件）
• 有关付费插件
  本软件无法完全支持扫描付费插件，别问为什么，问就是Spigot反盗版机制
• 翻译
  作者已在新版本更新更多字符串，翻译已过时，请酌情使用。
  
  虽然这个支持指定语言，但是我看了一下，只支持中文，所以我闲的没事就把这些翻译完了，也在Github上提交了个PR，等作者合并 以下是我转码前翻译完成的版本，你也可以在下文下载到能直接使用的版本： not_in_checksum_database={0} 无法在数据库中被找到，所以将会扫描其是否存在恶意代码 scan_start=开始扫描恶意插件 scan_end=扫描恶意插件完成 file_sort_start=正在以文件大小对插件分类，可能会花费一些时间 file_sort_end=文件分类完成 initializing=初始化... github_issues=请在这里报告任何误报和Bug: https://github.com/OpticFusion1/MCAntiMalware/issues #TODO: Improve this message, somehow. Perhaps better explain what protections --serverJar gives the user run_server_message如果你使用 --serverJar <path> 命令行参数，你的服务器将变得更加安全\n让AntiMalware启动服务器就可以以多种方式严格限制恶意插件，从而发现隐藏的恶意插件的存在。 download_database_start=正在下载数据库 download_database_end=数据库下载完成 setup_auto_update=设置自动更新 sm_malicious={0} 可能是恶意插件 start_sm_setup=开始设置SecurityManager end_sm_setup=完成设置SecurityManager start_sm_load_transformers=正在加载transformers end_sm_load_transformers=transformers加载完成 sm_start_server=开始启动服务器 sm_server_hooked=挂接到服务器 ({0}) sm_dumping_classes=正在处理类 callerinfo_msg=[插件: {0}, 类: {1}, 方法: {2}] watch_service_exception=创建监视服务时发生异常 database_reload_start=正在重新加载数据库 database_reload_end=数据库重新加载完成 rescan_start=正在重新扫描文件 rescan_end=重新扫描完成 update_check=正在检查更新 update_message=************************\n当前版本: {0} 新版本: {1}\n请记住，继续使用此版本不会获得任何支持。\n你可以在这里下载最新版本: https://www.spigotmc.org/resources/64982/\n程序将在20秒内启动\n************************ version_used_not_found=无法获取使用的版本 remaining_files=剩余文件: {0} might_not_be_infected={0} 可能未感染 {1} ({2}) might_be_infected={0} 可能被感染 {1}.{2}.{3}.{4} 类路径: {5} ; 行/源文件: {6}/{7} probably_safe={0} 可能是安全的 probably_safe_whitelist={0} 是安全的，因为其标识符在数据库中被找到 malware_detected_tool_tip_title=发现恶意插件 might_be_infected_tool_tip_text= {0} 可能被感染 {1}.{2}.{3}.{4} 类路径: {5} might_be_infected_tool_tip= {0} 可能被感染 blacklisted_world=File: {0} 玩家 {1} 发送了黑名单词语 "{2}" tried_to_disable_plugin={0} 尝试禁用插件 {1} tried_to_disable_all_plugins={0} 尝试禁用所有插件 tried_to_enable_plugin={0} 尝试启用插件 {1} file_most_likely-malicious=文件 {0} 极可能是恶意的 clazz_is_null=clazz不能是无效的 source_jar_not_found=未能获取类的源jar: {0} cant_write_jar_file=无法从代理写入jar文件: {0} implementation_load_error=代理加载程序加载时出错: {0} ban_possible_malicious_devs_start=开始封禁可能的恶意插件开发者 ban_possible_malicious_devs_end=封禁可能的恶意插件开发者完成 banned_player_file_empty=无法加载banned-players.json (检查是否有人被封禁过) loaded_player_bans=已加载 {0} 名被封禁的玩家 banned_player=已封禁 {0} ({1}) class_doesnt_exist=类 {0} 不存在 agent_cant_attach=无法接触此Java虚拟机. 在命令行添加参数 -javaagent:{0} agent_jre_not_supported=这个jre不支持将本地库附加到Java虚拟机 no_vm_implementation=找不到操作系统的VM实现: {0} resource_not_found={0} 无法被找到 embedded_resource_not_found=嵌入式资源 '{0}' 无法被找到 null_or_empty={0} 不能为空或无效 could_not_save_already_exists=无法保存 {0} 到 {1} 因为 {0} 已存在. could_not_save=无法保存 {0} 到 {1} banned_players_database_not_found=无法找到被封禁玩家的数据库 download_banned_players_database=正在下载被封禁玩家的数据库 finish_download_banned_players_database=下载被封禁玩家的数据库成功 finish_rescan=重新扫描完成 rescan_updated=数据库更新完成 reloading_check_database=重新加载数据库中 reloaded_check_database=数据库重新加载完成 reloading_checksum_database=重新加载校验码数据库中 reloaded_checksum_database=校验码数据库重新加载完成 downl_check_database=下载校验数据库中 {0} downl_checksum_database=下载校验码数据库中 {0} finish_reload_local_check_database=校验数据库重新加载完成 finish_download_check_database=校验数据库下载完成 {0} finish_download_checksum_database=校验码数据库重新加载完成 {0} not_watching=没有监视 {0}. interrupted_thread=目录监视线程中断 not_recognized=监视密钥无法识别 dir_inaccessible={0} 无法访问，停止监视 checking=检查 {0} 是否感染了 {1} ({2}) has_no_plugin_yml={0} 不包含plugin.yml文件，因此很可能不存在于数据库中 no_author_and_name=未设置作者和插件名 checksum_blacklisted={0} 的校验码在黑名单中，此插件极可能是恶意插件 local_check_database_update=更新本地校验数据库中 local_check_database_updated=本地校验数据库更新完成 registering_checks=正在注册检测 check_database_not_found=无法获取校验数据库，正在关闭 registered_checks=注册检测成功 updating_local_checksum_database=更新本地校验码数据库中 updated_local_checksum_database=本地校验码数据库更新完成 file_doesn't_exist={0} 不存在 file_created={0} 已被创建 file_modified={0} 已被更改 file_deleted={0} 已被删除 plugin_zipping_start=正在打包恶意插件 plugin_zipping_end=打包恶意插件完成 scanning_finished=扫描完成，等待更多文件以供扫描 tried_to_load_plugins={0} 尝试加载位于 {1} 目录下的插件 tried_to_load_plugin={0} 尝试加载插件 {1} initialize_end=初始化完成 复制代码

• 下载&开源地址
  支持原作者，请前往SpigotMC下载：https://www.spigotmc.org/resources/64982/
  本软件开源，源代码托管于Github：https://github.com/OpticFusion1/MCAntiMalware
  楼主的翻译汉化（已过时）： messages_chs.zip (2.76 KB, 下载次数: 105)
  翻译食用指南：以压缩包方式打开下载好的jar程序，将我的翻译文件丢到根目录，然后添加参数“--language chs”即可
• 楼主亲测截图和处理后的日志文件
  
  因为这个东西在扫描恶意网站的时候会刷屏相同的sql报错，所以我把那部分内容全部删掉了，反正也看不懂
  
  1. [17:18:32] [INFO]: Using locale en
     
  2. [17:18:32] [INFO]: Initializing...
     
  3. [17:18:32] [INFO]: Any bugs and/or false-positives should be reported here: https://github.com/OpticFusion1/MCAntiMalware/issues
     
  4. [17:18:32] [INFO]: Your server would be more secure if you used the --serverJar <path> command line argument
     
  5. Letting the AntiMalware start the server its self makes it so malicious plugins are severely limited in a variety of ways and more things get detected.
     
  6. [17:18:32] [INFO]: Downloading databases
     
  7. [17:18:34] [INFO]: Finished downloaded databases
     
  8. [17:18:34] [INFO]: Registering checks
     
  9. [17:18:34] [INFO]: Registered checks
     
  10. [17:18:34] [INFO]: Setting up Auto-Updater
      
  11. [17:18:34] [INFO]: Finished initializing
      
  12. [17:18:37] [DETECTED]: plugins\CommandNPC.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class path: me/messageofdeath/commandnpc/Listeners/NPCListener ; Line/SourceFile 142/NPCListener.java
      
  13. [17:18:50] [DETECTED]: plugins\LeakParkour.jar MIGHT be infected with Spigot.MALWARE.SystemAccess.Process Class path: org/a/a/a/l ; Line/SourceFile 502/FileSystemUtils.java
      
  14. [17:18:50] [DETECTED]: plugins\ItemJoin.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class path: me/RockinChaos/itemjoin/giveitems/utils/ItemCommand ; Line/SourceFile 142/ItemCommand.java
      
  15. [17:18:58] [DETECTED]: plugins\LiteBans\mysql-connector-java-8.0.18.jar MIGHT be infected with Spigot.MALWARE.SystemAccess.Process Class path: com/mysql/cj/admin/ServerController ; Line/SourceFile 149/ServerController.java
      
  16. [17:19:03] [DETECTED]: plugins\LuckPerms\libs\mysql-driver-5.1.48-remapped.jar MIGHT be infected with Spigot.MALWARE.SystemAccess.Process Class path: me/lucko/luckperms/lib/mysql/jdbc/util/ServerController ; Line/SourceFile 142/ServerController.java
      
  17. [17:19:04] [DETECTED]: plugins\LuckPerms\libs\mysql-driver-5.1.48.jar MIGHT be infected with Spigot.MALWARE.SystemAccess.Process Class path: com/mysql/jdbc/util/ServerController ; Line/SourceFile 142/ServerController.java
      
  18. [17:19:10] [DETECTED]: plugins\LuckPerms\libs\mysql-driver-8.0.22.jar MIGHT be infected with Spigot.MALWARE.SystemAccess.Process Class path: com/mysql/cj/admin/ServerController ; Line/SourceFile 149/ServerController.java
      
  19. [17:19:10] [DETECTED]: plugins\LuckPerms\libs\mysql-driver-8.0.22-remapped.jar MIGHT be infected with Spigot.MALWARE.SystemAccess.Process Class path: me/lucko/luckperms/lib/mysql/cj/admin/ServerController ; Line/SourceFile 149/ServerController.java
      
  20. [17:19:12] [DETECTED]: plugins\MCRMB-2.0b19-12fe19a.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class path: com/mcrmb/iiiiiiIiiIiI ; Line/SourceFile 737/CommandListen.java
      
  21. [17:19:12] [DETECTED]: plugins\MCRMB-2.0b19-12fe19a.jar MIGHT be infected with Spigot.MALWARE.ForceOP.A Class path: com/mcrmb/iiiiiIiiiIiI ; Line/SourceFile 49/TransferMode.java
      
  22. [17:19:16] [DETECTED]: plugins\MineBlockPluginManager.jar MIGHT be infected with Spigot.MALWARE.SystemAccess.Process Class path: org/apache/commons/io/FileSystemUtils ; Line/SourceFile 502/FileSystemUtils.java
      
  23. [17:19:21] [INFO]: worldguard-bukkit-6.2.2.jar is probably safe because the checksum is whitelisted
      
  24. [17:19:23] [DETECTED]: plugins\TabooLib\libs\org.scala-lang-scala-library-2.12.8.jar MIGHT be infected with Spigot.MALWARE.SystemAccess.Process Class path: scala/sys/process/ProcessImpl$SimpleProcess ; Line/SourceFile 241/ProcessImpl.scala
      

  复制代码
  
  
• 最后
  不要依赖本软件能发现全部后门插件，也不要认为没有任何误报（请看上面的日志，把开源的LuckPerms的依赖和TabooLib的依赖还有我给自己服务器做的插件管理检测出来了），还是要根据自己的判断
  想要无后门，最好的方法就是下载官方插件
  
  顺带提一下发帖模板的中文名称，是“反 病毒插件”，不是“反病毒 插件”
  

这个东西误报是不是狠了点2333
然后这个真的应该发到插件板块吗，，我觉得软件板块更适合一些

本帖最后由 DreamVoid 于 2021-1-30 18:01 编辑

发到那里还要查毒报告，又不是我做的我才不去搞那东西（说白了就是懒 ），而且也没有转载的相关规定，又是一个小玩意，我就觉得没必要
误报当然是有，所以要根据自己的判断来确认后门插件

感谢作者分享！！！！

感谢作者分享！！

先支持一下qwq

感谢作者分享！！！！

这个牛 别人给了我个有后门的端 一下就修好了

生成的文件怎么看那个插件有后门?

[17:19:16] [DETECTED]: plugins\MineBlockPluginManager.jar MIGHT be infected with Spigot.MALWARE.SystemAccess.Process Class path: org/apache/commons/io/FileSystemUtils ; Line/SourceFile 502/FileSystemUtils.java
以这一行为例，被检查出来的插件会有DETECTED的日志，plugins\后门跟的是插件文件名，be infected with后面跟的是危险代码类型，其中包括这里出现的访问系统文件，还有bukkit的setOP即设为服务器管理员的操作，你要根据自己的判断来确认一个插件是否是后门插件

好的，感谢楼主

还不错的插件

好插件 可以剩去时间排查后门插件了

不错啊但是报错厉害

不错的，这类插件在mcbbs感觉有点少

奇怪的插件增加了

支持一下,以后可以以防后门插件了awa

这么强的吗！！！

不错 感谢分享

请问这要怎么解决啊？

可以啊这个插件，节省时间了

你的Java版本太低了，需要使用Java8及更高版本

正因为后门问题困扰，发现了这个插件！

正在寻找这个插件呢非常nice

误报有些严重吧qwq

很厉害的插件

必须要java16！！

这个真不错 下载了

66666666666666

好家伙，感觉有用又感觉没用

感谢分享

感谢分享66666

反作弊插件在MCBBS上真的少，仅有的几个反作弊帖子又被锁了。这个插件质量不错，拿走用了，感谢分享！

nice啊，太棒了，感谢分享

看起来很实用，马上装上试试。

本帖最后由 baizhi_D 于 2022-2-19 11:35 编辑

java16也用不起来（上图是16的）

java17的图在下面（下图），一直刷这个报错


MCAntiMalware版本13.6

感谢大佬分享，您的分享是对我们最大的支持

很有必要的东西，感谢楼主分享

感谢作者分享！！！！

十分有用的插件啊，防御插件，感谢楼主的搬运

6666666666

这个防止后门很不错 这种插件很少见到 感谢分享