sensen1234
本帖最后由 sensen1234 于 2023-1-3 11:14 编辑

请各位服主看到后立即转发给你认识的服主!

以免损失扩大!

并且请版主不要删除本帖,尽管本帖有很多违反版规格式的排版!


不知道各位服主有没有这样的感受,一个玩家在线或者空载的时候,服务器内存占用极高(如3000-5000m) 并且服务器mspt异常高,每次开服都会生成一堆.tmp文件
那么如果您遇到上述情况,您的服务器很可能中毒了!
一、判断是否中毒最简单的方法:
① 使用任意压缩软件(这里我使用7zip) 逐个打开您的插件
如发现有.la_gnita文件(如图所示)



那么这时你的服务器就有概率感染了此病毒
接下来,还是用上述方法打开.jar文件,查看Jar文件中的javassist文件夹下是否有Franslator.class文件。此外,查看Jar文件根目录内是否含有名为.data、.l_ignore和.la_gnita的文件,或者为任何零字节大小的文件,这些文件也极有可能成为病毒感染的标志性文件。

解决方法:
前往插件官网下载最新版的插件,并且删除您插件文件夹里被感染的插件
请注意:某些插件可能官网版也有此病毒,这边推荐下载完成后按照上面的判断方法判断插件是否中毒
如还是存在0字节.l_ignore  .la_gnita文件,那么请不要安装本插件!请联系插件作者处理此事!请注意,请勿仅删除.l_ignore  .la_gnita文件 并不能成功杀死病毒

碎碎念:
本病毒真正完全运行仅会在Java8中完全运行(如图,可能是这个病毒字节码对应java8 在java16的服务器上运行可能会有问题)


但并不代表在java8以上的服务器中完全没有破坏力(如内存占用异常高,启动速度5-8分钟)楼主的服务器是1.19.2purpur zulu17中运行的,照样中了招(【新提醒】服务器启动奇慢无比,且空载内存9g - 联机问答 - Minecraft(我的世界)中文论坛 - (mcbbs.net) 本帖内的最佳答案并不能完全解决本问题,仅可缓解[指内存占用减小300-500m]
并且papermc的代码里并没有调用javassist的相关代码
附:病毒样本
被感染的插件(此病毒有传播性) NoteBlockAPI-1.6.1-SNAPSHOT.jar (1.85 MB, 下载次数: 35)







HE4071
速速po上virustotal
strings
javassist 是常用的操作字节码的库,和是否是病毒并没有关系
sensen1234
本帖最后由 sensen1234 于 2022-12-20 18:10 编辑
strings 发表于 2022-12-20 17:59
javassist 是常用的操作字节码的库,和是否是病毒并没有关系

但是这个东西表现出了极强的传染性,并且含有本文件夹的插件,运行会生成大量tmp文件(彻底启动后不会自己删除)
并且我也在帖子里提了,
并且papermc的代码里并没有调用javassist的相关代码
并且原插件并没有javassist文件夹并且带有javassist文件夹的插件,内存占用极高!
白魂ww
哥们 你是来搞笑的吗?
sensen1234
白魂ww 发表于 2022-12-20 18:02
哥们 你是来搞笑的吗?

你可以自己试试
sensen1234
双曲函数_法则 发表于 2022-12-20 17:54
速速po上virustotal

这个病毒他并不会破坏系统文件,反而表现出上传自己服务器的信息(?)有点像之前的那个黑客崩服病毒
白魂ww

啊啊啊  好可怕 我是不是中毒了
mzmzmz
sensen1234 发表于 2022-12-20 18:04
你可以自己试试

哥们,你是个天才
你是懂Java的

小心挨举报


sensen1234
mzmzmz 发表于 2022-12-20 18:09
哥们,你是个天才
你是懂Java的
小心挨举报

我真的建议自己试试
白魂ww
sensen1234 发表于 2022-12-20 18:10
我真的建议自己试试

我服务器好像没有任何问题 并且这个库还是很知名的  哥们
咱先百度再来发帖 或者你自己删掉内容吧  丢人(别钓了 没意思哥们
mzmzmz
sensen1234 发表于 2022-12-20 18:10
我真的建议自己试试

病毒可能会用到javassist没毛病
但用了javassist就是病毒可太草
“那么您的服务器100%中毒了!”你怎么敢说的
我自己写插件就用了javassist
https://www.mcbbs.net/thread-1250793-1-1.html
sensen1234
白魂ww 发表于 2022-12-20 18:11
我服务器好像没有任何问题 并且这个库还是很知名的  哥们
咱先百度再来发帖 或者你自己删 ...

我没钓,真的
sensen1234
mzmzmz 发表于 2022-12-20 18:12
病毒可能会用到javassist没毛病
但用了javassist就是病毒可太草
“那么您的服务器100%中毒了!”你怎么敢 ...

我在开头就提到了
不知道各位服主有没有这样的感受,一个玩家在线或者空载的时候,服务器内存占用极高(如3000-5000m) 并且服务器mspt异常高,每次开服都会生成一堆.tmp文件
那么如果您遇到上述情况,您的服务器很可能中毒了

我并没有说含有javassist文件夹的一定为病毒
‮tcejorPoiK
sensen1234 发表于 2022-12-20 18:13
我在开头就提到了

我并没有说含有javassist文件夹的一定为病毒
一、判断是否中毒最简单的方法:
...
①如发现有javassist文件夹
...
那么您的服务器100%中毒了!


可以把这部分改改..
这里小雨.
提出问题 不深层剖析一下原理就来科普 只能说扯淡
mzmzmz
sensen1234 发表于 2022-12-20 18:13
我在开头就提到了

我并没有说含有javassist文件夹的一定为病毒

那你说的一定中病毒的是
“内存占用极高并且服务器mspt异常高,每次开服都会生成一堆.tmp文件”

那你下面给的“判断是否中毒的方法”有什么意义
sensen1234
‮tcejorPoiK 发表于 2022-12-20 18:15
可以把这部分改改..

已修改,感谢指正
sensen1234
这里小雨. 发表于 2022-12-20 18:17
提出问题 不深层剖析一下原理就来科普 只能说扯淡

稍后我就把深层解析发出来
sensen1234
mzmzmz 发表于 2022-12-20 18:17
那你说的一定中病毒的是
“内存占用极高并且服务器mspt异常高,每次开服都会生成一堆.tmp文件”

javassist+异常内存
白魂ww
哥们你搞一份timings报告发出来看一下
mzmzmz
sensen1234 发表于 2022-12-20 18:19
javassist+异常内存

所以只异常内存就不一定有
然后再装上我这个带javassist的插件就变成一定有了是吧
幽月琉璃



javassist←~→中毒?
疑惑.jpg
sensen1234
幽月琉璃 发表于 2022-12-20 18:23
javassist←~→中毒?
疑惑.jpg

我说了,“很可能中毒”
凌语丶
你要不看看 我把你发的病毒样本覆盖官方的封装了一个jar拿去检测
https://s.threatbook.com/report/ ... 04c12793c7809a38cb4
https://www.virscan.com/report/f ... 04c12793c7809a38cb4
https://habo.qq.com/file/showdet ... IPls8U2c%3D#process
https://www.virustotal.com/gui/f ... 809a38cb4?nocache=1
sensen1234
本帖最后由 sensen1234 于 2022-12-20 18:31 编辑
白魂ww 发表于 2022-12-20 18:21
哥们你搞一份timings报告发出来看一下
  1. [18:26:08 INFO]: Plugins (39): AntiAttack*, Ath, AuthMe, BannerMaker, BossShopPro, Citizens, CleanMOTD, ClearEntity*, CMI, CMIEInjector*, CMILib, CoreProtect, ExcellentBuilding, FastAsyncWorldEdit (WorldEdit), HolographicDisplays, ImageMaps, JoinEventAll*, JukeBox, LiteSignIn, LuckPerms, MagicOpBugHotfix, Multiverse-Core, NoteBlockAPI, PlaceholderAPI, PlayerTitle, PlotSquared, PlugManX (PlugMan), ProtocolLib, RanOptimiser, SkinsRestorer, TAB, TrChat, Vault, ViaBackwards, ViaVersion, Welcome*, WorldGuard, WTF*, ZMusic
  2. > timings on
  3. [18:26:11 INFO]: Enabled Timings & Reset
  4. [18:26:11 INFO]: Timings Reset
  5. > gc
  6. [18:26:14 INFO]:
  7. --------------------------------------------------
  8. 系统: amd64 (Windows Server 2016) 运行线程: 171
  9. TPS: 19.99 (19.83 19.83 19.83 19.83)
  10. Cpu 使用: 2.85% (4 cores)
  11. 运营时间: 4 分 9 秒
  12. 内存使用: 62.03% (3811.00/6144 MB)
  13. Java 版本: 17.0.2+8-LTS-86() Build:
  14. 磁盘占用: 65.46% (523/799 GB)
  15. 1. world 529 个区块 3 个实体 23 tiles 0 玩家
  16. 2. Bplot 529 个区块 3 个实体 40 tiles 0 玩家
  17. 3. plot 529 个区块 0 个实体 0 tiles 0 玩家
  18. 4. Plot1 529 个区块 93 个实体 65 tiles 0 玩家
  19. 5. Plot2 529 个区块 0 个实体 0 tiles 0 玩家
  20. --------------------------------------------------
复制代码

timings还没出来,我先发一份内存占用
按照我发的方法解决后,内存占用仅有700m左右
我希望您相信我
(注:timings我放在帖子最后了)
耗子
本帖最后由 耗子 于 2022-12-20 18:42 编辑

题主未经分析病毒的工作方式,仅根据是否含有javassist来判断是否中毒,是站不住脚的。
一、判断是否中毒最简单的方法:
① 使用任意压缩软件(这里我使用7zip) 逐个打开您的插件
如发现有javassist文件夹(如图所示)
并且打开后文件为这些(如图所示)
那么您的服务器很可能中毒了(并非含有javassist的一定被感染,判断条件还有如我开头提到的异常内存占用)!

根据BetterStructures插件的开源代码,分析依赖关系后得知,引入org.javassist:javassist库的是org.reflections:reflections库,并且该插件使用了shadow打包Jar文件,所以javassist库被打包到Jar文件中。

此外,题主仅根据javassist类库的编译版本为Java 8,就断言“本病毒真正完全运行仅会在Java8中完全运行”,实是犯了Java最基本的常识性错误,即高版本的JVM可以运行低版本编译的程序,简单来说就是向下兼容。连Java最基本的概念都搞不清楚,我对题主有能力判断程序是否是病毒持怀疑态度。

最后,题主能够在发表此类消息前,应该先寻求圈内权威人士的指导,并且希望题主能够提升自己的Java水平,不要再弄出这样的乌龙出来了。



第一页 上一页 下一页 最后一页