本帖最后由 本诺先森 于 2021-2-15 11:29 编辑



该玩家qq号为 972415865
有云黑的大佬可以加一下云黑


他所谓的知道后台密码当然是假的
利用的是部分mod开放的接口  dispatchcommand
简单来说就是利用mod  通过后台利用op权限执行指令   


利用的代码是       *****部分被我马赛克了。
var server = Java.************();
var csender =server.***************()
server.dispatchCommand(csender,"op Possion")








他利用的mod是hammercore  他自己炫耀发截图发出来了。真是令人窒息的操作




首先  我已经安装了anotherbugfix  也将修复资源放入fixresourse

因此各位开服玩家请务必注意  
有这个mod的请务必删除




解决方法：
1.该玩家取了一个类似于铱矿石的矿物词典名字的id
有理由怀疑是利用模组物品名字  通过模组发送信息的方式对后台进行指令的执行
因此如果不想删模组的服主
可以开启服务器白名单审核  禁止类似于 OreIridium 等类似名字进入服务器
特殊时候特殊处理吧,希望能早点有大佬修复此类bug

当然
该玩家在我冷嘲热讽下
退出了群聊
笑死

谢谢大佬 知道了

看上去是刷物品，而非执行命令

https://github.com/theic2/Xeno1. ... core/FreeItems.java

显然是作者太信任客户端了，应该去试试写 web

服务器能弄插件就尽量别弄模组，模组bug太多

感谢提醒 不过我没有

修复包放入fixresourse就得了嘛  不需要放入客户端？

那不然 还得留着和你怼啊

mod挺好 可惜我用的插件

可能作者起初只想单人或好?友联机就不想这么多。
这里有MOD特性警示

但是我不了解信任客户端和写web有什么关系

b站图床好像用电信看不到图

服务器纯净的  不过谢谢了

感谢提醒~`

但是你作为一个基础的前置还在这预设就不对了。

准确来说是写后端，一个原则就是不要信任任何请求。虽然 mod 运行在服务端也是某种写后端了。

昨天管理才跟我说的，今天就看见了。

谢谢大佬告知

我服务器中也出现了该名玩家
在昨夜0点时尝试获取op
然后就自己退群了

插件不是一般问题更多吗？
插件版一大堆因为发布后门插件被封号的
而Mod发布版就极少

懂了，感谢大佬

随便找个op白名单应该就可以防止刷op了吧

他这个是可以后台执行指令。。
不限于op
也就是说  他发的指令全部后台执行

你说的没用

后台发送那没办法了 我还以为只是刷个op

可以去定制插件啊

正版验证+禁用OP指令应该能拦住他吧...

楼主干得漂亮！

谢谢，知道了

666666666666666

相比MC，Web的客户端几乎没有可靠可言（更要命）
比如之前我的AwesomeMCBBS（未公开）具有的部分反屏蔽功能，实际上就是欺骗了服务端
SQL注入，伪造Cookie，XSS，诸如此类
（来自客户端的数据都不能相信，把数据丢客户端更是找死）

应该可以
我怀疑是玩家id 配合mod进行的

他吧自己名字改成铱矿石的名字  然后通过mod  进行后台获取权限

所以加白名单审核玩家名字+正版验证

应该可以完美避免

这个是啥mod呀萌新避下雷

感谢提醒，已经转给朋友看了

我更新了疑似可以进行的处理方式
虽然可能有点麻烦
毕竟加白名单什么的

感谢大佬告诉这么一个BUG

吓得我赶紧看了一眼我们服务器的模组列表 还好没有

害，这种人没什么好说了

有点离谱....