本帖最后由 john180 于 2015-12-27 00:21 编辑

---

涉及插件
本次涉及到的恶意插件包括由502647092发布的全部3款插件.
http://www.mcbbs.net/thread-528884-1-1.html
http://www.mcbbs.net/thread-525377-1-1.html
http://www.mcbbs.net/thread-510713-1-1.html

(如果在服务端plugins文件夹内发现 PluginHelper 文件夹那么很有可能你安装了包含此后门的插件)

---

后门效果
插件自带了一个ddos模块,会自动从作者网站获取ddos目标信息.
包括目标服务器IP,端口号,数据包大小,发送时间等信息.
然后开始在后台自动发起ddos攻击.所有安装此插件的服务器都将成为插件作者的肉鸡.

---

部分代码截图

---

解决方法
1.请所有下载并使用此插件并的服主立刻卸载此插件.
2.如实在想使用这些插件,请在服务器上屏蔽yum.citycraft.cn此网址,可阻止插件获取ddos服务器信息.(修改hosts文件教程)

---

而此插件作者502647092则永久禁言,望各位原创插件作者引以为戒.

本帖最后由 MuChenyu 于 2015-12-26 23:29 编辑

请各位服主注意！！！这两个我都装了，真是B了狗了！

【如何屏蔽？】

本帖最后由 爱杂食的圳 于 2015-12-26 23:24 编辑

哎…没想到一直在用的重制的插件居然是后门…
果然插件版原创/重制插件还需要谨慎下载…
【话说屏蔽？怎么屏蔽？在Hosts中设置吗？】

防不胜防啊...

安装原创插件需谨慎。。即使你反编译过了也记得关闭自动更新

［这- -还好我没下载他发的插件］

后门层出不穷……
希望各位引以为戒
不要干此类事情

防不胜防啊←_←诶

其实他的插件很有用的…只是用在了不正确的地方…
不过那个重制的领地插件已经发布了很久了吧？为什么没有人早点发现呢？
不会是作者后来才添加的吧？

我TM以为终于有重制版的好插件了，没想到居然有后门！
真是服了！狗带去吧

3个我都装了，看到后秒删插件

哎 多好的插件啊

［他是喵大啊 貌似尘曲的好朋友 怎么会做出这样的事情... 或许是被盗号了..］

作者在插件群内申明如图 是后来家的，一开始用来检测更新的，后来就变成了后门

不用国产就不会死wwwww

闭源插件/mod还能不能让人相信？

这个这位作者所有源码https://coding.net/u/502647092，如果有人继续要使用，就自己构建，移除所有恶意代码，还是可以继续用的

可惜了，我的喵大大，走好
他的只是公用插件库出现恶意代码。。。

本帖最后由 qiu1995 于 2015-12-27 15:52 编辑

看到这条消息，虽然很想说点什么，但是还是算了。水太深了，我只能上岸。

不该永久禁言，永久禁止访问才对

社会的败类，凭着自己一点技术害人，孬种

这跟那些建伪基站发病毒、小广告的人还能有什么区别？

本帖最后由 迷踪 于 2015-12-27 00:03 编辑

［测试完了就应该删掉吧 留着做什么呢 说不定就恶意报复了 不懂Java的我 无视前面的话- - 嘛...终究被认为是后门,反正MCBBS严禁出现这种事的］

经检查发现还有与citycraft关联网站：http://ci.sumcraft.net:8080/
请各腐竹也一并添加至host库

不懂JAVA别说话

我想说你看到那个库里有梦梦的插件了吗

看到了，估计他可能连坐

科科  完全看不懂..

是的，清者自清。
至于有些人，有些话也就不多说了。
吾等还是老实围观就好

本帖最后由 jianghr 于 2015-12-27 00:11 编辑

然而后门的强制与否肉鸡并没有选择权。压测也并不需要他自己的带宽或流量。
最后一句亮了。

再次补充,一个神秘的链接

力挺，居然坑我们这种小白，还是一个群里面的，我估计要收费D我们的服务器， 人心险恶，力挺版主

如此恶劣，该诛九族！

顶一个+++++++++++++++++++++++

听说一开始还是没加的 后来说是方便更新加了 然后就呵呵 后门这玩意 无论是用于做什么 都不是一件好事 天堂往左地狱往右 你今天可以帮别人测试服务器压力用这些后门捕捉肉鸡 难保他日 你用这后门做更多非法的是 谁敢给你担保

网页后台服没法屏蔽的，因为要修改到系统里的hosts，网页后台没这权限，独立服或vps才能改

我已开启喷他kill模式 citycraft.cn/blog/    这是那货的BLOG。怎么攻击是你们自己的事了~

本帖最后由 匿名 于 2015-12-27 14:32 编辑

想想还是匿名了。
其实我个人觉得没什么好争辩的，甚至毫无回旋的余地。没有经过腐竹的许可，擅自控制他人服务器发起DDOS，无论理由是测试还是别的什么，都改变不了事实——插件自带后门，作者擅自控制他人服务器。

某些洗地的也是醉了，正如插件作者自己的话，爱用就用，不用就滚。自己爱当肉鸡能有啥办法？

最后说下，他今天能利用自动更新让你消耗服务器宽带和资源“测试”DDOS其他服务器，说不准哪天就是添加个远程桌面权限，下载数据，甚至格式化整个硬盘。看到这里如果还觉得MCBBS版主都是权限狗，冤枉了一位伟大、无私的技术大拿，麻烦留言回复下。我想看看都是些什么人。

补充：

看了下洗地的集中在对方没有真正开启DDOS模块和手误才加入的DDOS代码。我也是醉到不行。

DDOS开启的开关在远程URL，他想改就改的东西有什么好说的？
手误才加入的DDOS模块？DDOS代码不是他自己写的？是天上掉下来的么？手误能手误到所有他重制的插件都包含？还自动更新到有后门的版本？

还说看过源码的都笑了，让MCBSS版主提高代码水平。源码清清楚楚的显示只要他在特定URL添加地址，就能让所有安装这个插件的服务器自动、循环的消耗自身资源和宽带的对列表内的地址发送指定长度的流量包，这有什么好辩解的？威力小就是恶作剧？但是威力真的小么？对于用VPS和云主机的腐竹来说，上行宽带直接被耗尽。上千台安装了他插件的服务器能打出多少流量自己算算。攻击能力已经可以秒杀任何没硬防的服务器了。

另外发个图，不多说什么。

我感觉就是因为用了他的插件后 服务器就开始变卡了····

谢谢楼主。我已经修改HOSTS了= -
附上ubuntu修改方法
sudo vi /etc/hosts
输入i
添加一行"127.0.0.1 yum.citycraft.cn"
按ESC。输入:wq!
重启network.输入 sudo /etc/init.d/networking restart

。。。太恐怖惹{:10_529:}

然而对于我这个连服务器都没有的人有什么用呢23333

总是有心存侥幸的

虽然作者这种行为让人发指
但是这个插件真心的不错
希望有大大能够消除这个后门再发出来

→_→具体情况，我也明白了，这种事情表示，我已经习惯了。

还好昨天我就知道了，某人截图我还以为是假的

这么巧我也是

那个重置的领地插件，我记得那个作者还让我们测试找BUG呢，还好没装，，

再次出现了后门插件
这种性质比上次的那个更严重
有点木马的性质了

个人感觉这就是插件圈子和MOD圈子的区别了。MOD圈子还是很公开透明的，大部分MOD都开源，少数不开源的比如IC、TE之类的MOD也是历史悠久的老牌MOD了，不可能砸自己招牌的。而插件圈子自从CraftBukkit倒了之后很多插件都开始秘密研发，不仅新手服主很难找到版本新、功能全的插件，甚至还有可能因为后门插件蒙受损失，毕竟他们不可能像大型服务器聘请程序员定做插件。

就因为有把别人的插件改一改、加点后门就拿出来发布的败类，于是插件作者都不愿意开源；能保证100%安全的开源插件少了，服主们也就不得已使用闭源、甚至带有后门的插件。这是一个恶性循环，希望大家能引起重视。

这插件有点木马的性质了。。
有些木马本身程序并不包含恶意代码，联网下载一个恶意插件，骗过了安全软件
其实自动更新模块只要不向恶性方向利用，就是个好模块。

在此支持你的观点（不能对匿名贴评分，见谅。。）