本帖最后由 本诺先森 于 2021-2-15 11:29 编辑
该玩家qq号为 972415865
有云黑的大佬可以加一下云黑
他所谓的知道后台密码当然是假的
利用的是部分mod开放的接口 dispatchcommand
简单来说就是利用mod 通过后台利用op权限执行指令
利用的代码是 *****部分被我马赛克了。
var server = Java.************();
var csender =server.***************()
server.dispatchCommand(csender,"op Possion")
他利用的mod是hammercore 他自己炫耀发截图发出来了。真是令人窒息的操作
首先 我已经安装了anotherbugfix 也将修复资源放入fixresourse
因此各位开服玩家请务必注意
有这个mod的请务必删除
解决方法:
1.该玩家取了一个类似于铱矿石的矿物词典名字的id
有理由怀疑是利用模组物品名字 通过模组发送信息的方式对后台进行指令的执行
因此如果不想删模组的服主
可以开启服务器白名单审核 禁止类似于 OreIridium 等类似名字进入服务器
特殊时候特殊处理吧,希望能早点有大佬修复此类bug
该玩家qq号为 972415865
有云黑的大佬可以加一下云黑
他所谓的知道后台密码当然是假的
利用的是部分mod开放的接口 dispatchcommand
简单来说就是利用mod 通过后台利用op权限执行指令
利用的代码是 *****部分被我马赛克了。
var server = Java.************();
var csender =server.***************()
server.dispatchCommand(csender,"op Possion")
他利用的mod是hammercore 他自己炫耀发截图发出来了。真是令人窒息的操作
首先 我已经安装了anotherbugfix 也将修复资源放入fixresourse
因此各位开服玩家请务必注意
有这个mod的请务必删除
解决方法:
1.该玩家取了一个类似于铱矿石的矿物词典名字的id
有理由怀疑是利用模组物品名字 通过模组发送信息的方式对后台进行指令的执行
因此如果不想删模组的服主
可以开启服务器白名单审核 禁止类似于 OreIridium 等类似名字进入服务器
特殊时候特殊处理吧,希望能早点有大佬修复此类bug
当然
该玩家在我冷嘲热讽下
退出了群聊
笑死
该玩家在我冷嘲热讽下
退出了群聊
笑死

谢谢大佬 知道了
服务器能弄插件就尽量别弄模组,模组bug太多
感谢提醒 不过我没有
修复包放入fixresourse就得了嘛 不需要放入客户端?
xmdhs 发表于 2021-2-15 01:18
看上去是刷物品,而非执行命令
https://github.com/theic2/Xeno1.12/blob/master/src/main/java/theic2/xe ...
可能作者起初只想单人或好?友联机就不想这么多。

这里有MOD特性警示
但是我不了解信任客户端和写web有什么关系

服务器纯净的 不过谢谢了
感谢提醒~`
彩虹狼 发表于 2021-2-15 06:00
可能作者起初只想单人或好?友联机就不想这么多。
这里有MOD特性警示
但是你作为一个基础的前置还在这预设就不对了。
准确来说是写后端,一个原则就是不要信任任何请求。虽然 mod 运行在服务端也是某种写后端了。
昨天管理才跟我说的,今天就看见了。
谢谢大佬告知
我服务器中也出现了该名玩家
在昨夜0点时尝试获取op
然后就自己退群了
在昨夜0点时尝试获取op
然后就自己退群了
sssgsf 发表于 2021-2-15 02:09
服务器能弄插件就尽量别弄模组,模组bug太多
插件不是一般问题更多吗?
插件版一大堆因为发布后门插件被封号的
而Mod发布版就极少
懂了,感谢大佬
随便找个op白名单应该就可以防止刷op了吧
本诺先森 发表于 2021-2-15 10:32
他这个是可以后台执行指令。。
不限于op
也就是说 他发的指令全部后台执行
后台发送那没办法了 我还以为只是刷个op
正版验证+禁用OP指令应该能拦住他吧...
楼主干得漂亮!
谢谢,知道了
666666666666666
彩虹狼 发表于 2021-2-15 06:00
可能作者起初只想单人或好?友联机就不想这么多。
这里有MOD特性警示
相比MC,Web的客户端几乎没有可靠可言(更要命)
比如之前我的AwesomeMCBBS(未公开)具有的部分反屏蔽功能,实际上就是欺骗了服务端
SQL注入,伪造Cookie,XSS,诸如此类
(来自客户端的数据都不能相信,把数据丢客户端更是找死)
piao_xue 发表于 2021-2-15 11:02
正版验证+禁用OP指令应该能拦住他吧...
应该可以
我怀疑是玩家id 配合mod进行的
他吧自己名字改成铱矿石的名字 然后通过mod 进行后台获取权限
所以加白名单审核玩家名字+正版验证
应该可以完美避免
这个是啥mod呀
萌新避下雷
感谢提醒,已经转给朋友看了
感谢大佬告诉这么一个BUG
吓得我赶紧看了一眼我们服务器的模组列表 还好没有
害,这种人没什么好说了
有点离谱....