本诺先森
本帖最后由 本诺先森 于 2021-2-15 11:29 编辑



该玩家qq号为 972415865
有云黑的大佬可以加一下云黑


他所谓的知道后台密码当然是假的
利用的是部分mod开放的接口  dispatchcommand
简单来说就是利用mod  通过后台利用op权限执行指令   


利用的代码是       *****部分被我马赛克了。
var server = Java.************();
var csender =server.***************()
server.dispatchCommand(csender,"op Possion")








他利用的mod是hammercore  他自己炫耀发截图发出来了。真是令人窒息的操作




首先  我已经安装了anotherbugfix  也将修复资源放入fixresourse

因此各位开服玩家请务必注意  
有这个mod的请务必删除




解决方法:
1.该玩家取了一个类似于铱矿石的矿物词典名字的id
有理由怀疑是利用模组物品名字  通过模组发送信息的方式对后台进行指令的执行
因此如果不想删模组的服主
可以开启服务器白名单审核  禁止类似于 OreIridium 等类似名字进入服务器
特殊时候特殊处理吧,希望能早点有大佬修复此类bug




本诺先森
当然
该玩家在我冷嘲热讽下
退出了群聊
笑死



adsjhi
谢谢大佬 知道了

xmdhs
看上去是刷物品,而非执行命令

https://github.com/theic2/Xeno1. ... core/FreeItems.java

显然是作者太信任客户端了,应该去试试写 web

飞叶MC
服务器能弄插件就尽量别弄模组,模组bug太多

我想啸啊
感谢提醒 不过我没有

吃饱喝足去睡觉
修复包放入fixresourse就得了嘛  不需要放入客户端?

我想啸啊
本诺先森 发表于 2021-2-15 00:50
当然
该玩家在我冷嘲热讽下
退出了群聊

那不然 还得留着和你怼啊

twtkele
mod挺好 可惜我用的插件

彩虹狼
xmdhs 发表于 2021-2-15 01:18
看上去是刷物品,而非执行命令

https://github.com/theic2/Xeno1.12/blob/master/src/main/java/theic2/xe ...

可能作者起初只想单人或好?友联机就不想这么多。
这里有MOD特性警示

但是我不了解信任客户端和写web有什么关系

。—。
彩虹狼 发表于 2021-2-15 06:00
可能作者起初只想单人或好?友联机就不想这么多。
这里有MOD特性警示

b站图床好像用电信看不到图

愿君思
服务器纯净的  不过谢谢了

方块暴徒
感谢提醒~`

xmdhs
彩虹狼 发表于 2021-2-15 06:00
可能作者起初只想单人或好?友联机就不想这么多。
这里有MOD特性警示

但是你作为一个基础的前置还在这预设就不对了。

准确来说是写后端,一个原则就是不要信任任何请求。虽然 mod 运行在服务端也是某种写后端了。

MTxiaoxia
昨天管理才跟我说的,今天就看见了。

riedwhite
谢谢大佬告知

暗影月赎
我服务器中也出现了该名玩家
在昨夜0点时尝试获取op
然后就自己退群了

洞穴夜莺
sssgsf 发表于 2021-2-15 02:09
服务器能弄插件就尽量别弄模组,模组bug太多

插件不是一般问题更多吗?
插件版一大堆因为发布后门插件被封号的
而Mod发布版就极少

Agiu
懂了,感谢大佬

二哈大魔王
随便找个op白名单应该就可以防止刷op了吧

本诺先森
二哈大魔王 发表于 2021-2-15 10:31
随便找个op白名单应该就可以防止刷op了吧

他这个是可以后台执行指令。。
不限于op
也就是说  他发的指令全部后台执行

你说的没用

二哈大魔王
本诺先森 发表于 2021-2-15 10:32
他这个是可以后台执行指令。。
不限于op
也就是说  他发的指令全部后台执行

后台发送那没办法了 我还以为只是刷个op

飞叶MC
洞穴夜莺 发表于 2021-2-15 10:17
插件不是一般问题更多吗?
插件版一大堆因为发布后门插件被封号的
而Mod发布版就极少 ...

可以去定制插件啊

piao_xue
正版验证+禁用OP指令应该能拦住他吧...

苏维埃至上
楼主干得漂亮!

1310344168
谢谢,知道了

6566pqh
666666666666666

ARSpark
彩虹狼 发表于 2021-2-15 06:00
可能作者起初只想单人或好?友联机就不想这么多。
这里有MOD特性警示

相比MC,Web的客户端几乎没有可靠可言(更要命)
比如之前我的AwesomeMCBBS(未公开)具有的部分反屏蔽功能,实际上就是欺骗了服务端
SQL注入,伪造Cookie,XSS,诸如此类
(来自客户端的数据都不能相信,把数据丢客户端更是找死)

本诺先森
piao_xue 发表于 2021-2-15 11:02
正版验证+禁用OP指令应该能拦住他吧...

应该可以
我怀疑是玩家id 配合mod进行的

他吧自己名字改成铱矿石的名字  然后通过mod  进行后台获取权限

所以加白名单审核玩家名字+正版验证

应该可以完美避免

piao_miao
这个是啥mod呀萌新避下雷

Lawrence7
感谢提醒,已经转给朋友看了

本诺先森
Lawrence7 发表于 2021-2-15 11:28
感谢提醒,已经转给朋友看了

我更新了疑似可以进行的处理方式
虽然可能有点麻烦
毕竟加白名单什么的

Reyeraz
感谢大佬告诉这么一个BUG

WPencil
吓得我赶紧看了一眼我们服务器的模组列表 还好没有

尧leon_
害,这种人没什么好说了

NoCheatPlus
有点离谱....

第一页 上一页 下一页 最后一页