本帖最后由 BellTune 于 2020-2-27 15:00 编辑
你或许知道这件事情:【MCBBS链接】
事实上,在小莫发布警告帖子之前,漏洞已经爆发
而在帖子发布的前几天,还有服主来找我定制修复MOD
然而近期的爆发事件,证明这个bug,远非轻易修复的
首先你们必须要明白这个Bug的类型:
完全没有考虑到服务器大型在线游戏的因素,Forge也是如此,
因此,很多操作都没有经过服务端的数据安全性检验。
举个例子?
OC的电脑能量,就未经过数据性检验,客户端可以通过反射/发包的方式,
直接强制服务器修改其能量,并借此崩溃服务器!
显而易见,这个Bug本质来说也就是常规的漏洞而已,
但问题在于,现在某毛子作弊端将其整合在一起,就显得极具破坏力。
正因此,目前一些小学生和脚本小子正在借此到处搞破坏!危害十分之大!
BugJang虽然总写Bug,但还没有笨到连数据安全性都不验证,
所以原版纯净插件服服主大可不必惊慌,泰然自若。
那么Mod服呢?难道所有Mod服全部成为了刀下肉?
不!或者是!因为这个Bug从深层含义来说,远非一个那么简单!
试想一下,一个Mod开发者不考虑服务器安全性,那其他人呢?
因此,这种因为【不考虑数据安全性】而导致的Bug MOD,远非这些。
除此以外,此Bug的存在,不止1.7.10,包括但不限于任何1.12.2+和Cat/Sponge。
同时,VexView也存在类似的情况,值得庆幸的是,附属并不会犯这些错误,
因为VV的开发者文档已经明确指出了需要注意数据安全性,比如VexSlot,这太棒了!
不过别庆幸太早,如果你的服务器有这些Bug:
变OP、越权指令、崩服、凭空创造物品、传送、破坏,无所不能
这个亲爱的Bug,远非轻而易举修复的,
不可能存在一个插件/MOD,叫你安装了,就彻底根除一切Bug。
但值得庆幸的一点是,要实现这些Bug,需要一些编程能力,虽然要求并不高
但这对于那些小学生和脚本小子来说已经足以是一道门槛,
尽管还有其他Bug没有被发掘,但小学生要想利用他们绝非轻而易举。
除了——
如果你是服务器服主,并且注意到你的服务器有这些MOD,请立即关闭你的服务器,直到黎明!
复制代码我现在和一些大佬正在探讨尝试修复的办法,不过目前
除了填鸭式修复这些有Bug的MOD,别无他法~
所以说,将这些Bug反馈给作者,等待修复,记得更新就好。
修复方案:https://www.mcbbs.net/thread-970361-1-1.html
你或许知道这件事情:【MCBBS链接】
事实上,在小莫发布警告帖子之前,漏洞已经爆发
而在帖子发布的前几天,还有服主来找我定制修复MOD
然而近期的爆发事件,证明这个bug,远非轻易修复的
首先你们必须要明白这个Bug的类型:
究其原因在于,MOD的作者设计之初就是为了单人或基友联机,这个Bug从何而来?
完全没有考虑到服务器大型在线游戏的因素,Forge也是如此,
因此,很多操作都没有经过服务端的数据安全性检验。
举个例子?
OC的电脑能量,就未经过数据性检验,客户端可以通过反射/发包的方式,
直接强制服务器修改其能量,并借此崩溃服务器!
显而易见,这个Bug本质来说也就是常规的漏洞而已,
但问题在于,现在某毛子作弊端将其整合在一起,就显得极具破坏力。
正因此,目前一些小学生和脚本小子正在借此到处搞破坏!危害十分之大!
如果你是一个纯净服服主,那么你完全不必恐慌,Bug的影响范围?
BugJang虽然总写Bug,但还没有笨到连数据安全性都不验证,
所以原版纯净插件服服主大可不必惊慌,泰然自若。
那么Mod服呢?难道所有Mod服全部成为了刀下肉?
不!或者是!因为这个Bug从深层含义来说,远非一个那么简单!
试想一下,一个Mod开发者不考虑服务器安全性,那其他人呢?
因此,这种因为【不考虑数据安全性】而导致的Bug MOD,远非这些。
除此以外,此Bug的存在,不止1.7.10,包括但不限于任何1.12.2+和Cat/Sponge。
同时,VexView也存在类似的情况,值得庆幸的是,附属并不会犯这些错误,
因为VV的开发者文档已经明确指出了需要注意数据安全性,比如VexSlot,这太棒了!
不过别庆幸太早,如果你的服务器有这些Bug:
变OP、越权指令、崩服、凭空创造物品、传送、破坏,无所不能
如果你有读懂我上面在说些什么,那么你应该清楚的是,请救救我们?!
这个亲爱的Bug,远非轻而易举修复的,
不可能存在一个插件/MOD,叫你安装了,就彻底根除一切Bug。
但值得庆幸的一点是,要实现这些Bug,需要一些编程能力,虽然要求并不高
但这对于那些小学生和脚本小子来说已经足以是一道门槛,
尽管还有其他Bug没有被发掘,但小学生要想利用他们绝非轻而易举。
除了——
以下列举了所有目前的作弊端所含有借此崩溃服务器/作弊/刷取物品的列表,该怎么办?
如果你是服务器服主,并且注意到你的服务器有这些MOD,请立即关闭你的服务器,直到黎明!
- AdvertHack:
- 中文: 广告牌
- 英文: Mal**Advert
- 类型: 发包BUG改任意广告牌内容
- BiblioAtlasGive:
- 中文: 展示架/收藏馆
- 英文: BiblioCraft
- 类型: 发包刷物品BUG,特定方块
- BiblioFrameGive:
- 中文: 展示架/收藏馆
- 英文: BiblioCraft
- 类型: 发包刷物品BUG,特定方块
- BiblioSignEdit:
- 中文: 展示架/收藏馆
- 英文: BiblioCraft
- 类型: 强制打开牌子编辑,特定方块
- BiblioTableGive:
- 中文: 展示架/收藏馆
- 英文: BiblioCraft
- 类型: 发包刷物品BUG
- BuildMarkerGive:
- 中文: BC建筑
- 英文: BuildCraft|Builders
- 类型: 发包刷物品BUG
- BuildMarkerGive:
- 中文: BC建筑
- 英文: BuildCraft|Builders
- 类型: 发包刷物品BUG
- CacheGive:
- 中文: 热力膨胀
- 英文: ThermalExpansion
- 类型: 发包BUG,cofh.core.network.PacketTile
- CarpenterUse:
- 中文: 木匠方块
- 英文: CarpentersBlocks
- 类型: 发包远程交互方块BUG
- CrayfishGive:
- 中文: MrCrayfish的家具
- 英文: MrCrayfish's Furniture Mod
- 类型: 发包刷物品BUG
- 类型: 发包远程交互方块BUG
- CrayfishNuker:
- 中文: MrCrayfish的家具
- 英文: MrCrayfish's Furniture Mod
- 类型: 发包将范围内的水设置为空气
- EIOTeleport:
- 中文: 末影接口
- 英文: EnderIO
- 类型: 发包传送
- EIOXpGrab:
- 中文: 末影接口
- 英文: EnderIO
- 类型: 发包改经验方尖碑吸收半径为无限
- MachineChaos:
- 中文: 末影接口
- 英文: EnderIO
- 类型: 发包改机器与管道的每个面的配置为随机
- ExtraFakeSlot:
- 中文: 更多存储单元
- 英文: Extra Cells
- 类型: 发包将任意物品更新到流体过滤器上
- FactoryDupe:
- 中文: 我的工厂
- 英文: MineFactoryReloaded
- 类型: 发包刷物品BUG
- FactoryRocket:
- 中文: 我的工厂
- 英文: MineFactoryReloaded
- 类型: 发包生成火箭实体
- GalacticFire:
- 中文: 星系
- 英文: GalacticraftCore
- 类型: 发包给生物火化
- GiveSelect:
- 中文: NEI
- 英文: NEI
- 类型: 选定任意物品(提供给其他作弊模块使用),不是BUG
- Mal**Doors:
- 中文: 更多门
- 英文: Mal**Doors
- 类型: 发包开门
- MatterGiveItem:
- 中文: 超能物质
- 英文: Matter Overdrive
- 类型: 发包刷物品,特定方块
- MekFire:
- 中文: 通用机械
- 英文: Mekanism
- 类型: 改机器工作时面上的那几个字
- MekOpener:
- 中文: 通用机械
- 英文: Mekanism
- 类型: 发包强制打开私有机器
- NanoTechGive:
- 中文: NanoTech
- 英文: NanoTech
- 类型: 刷任意物品到箱子
- NCPanelEdit:
- 中文: 核电控制
- 英文: Nuclear Control
- 类型: 发包打开核电控制的方块界面
- OpenComputers:
- 中文: 开放式电脑
- 英文: OpenComputers
- 类型: 发包范围关机
- OneWayTicket:
- 中文: 铁路
- 英文: Railcraft
- 类型: 发包修改特定物品
- OpenCreative:
- 中文: 开放式模组
- 英文: OpenMods
- 类型: 发包执行任意代码,这里只执行了设置创造代码
- QuestGive:
- 中文: 更好的任务
- 英文: Better Questing
- 类型: 发包刷任意物品,特定方块
- RadioHack:
- 中文: 音乐收音机
- 英文: Dragon's Radio
- 类型: 发包刷切歌
- RedBarrelGive:
- 中文: 红石计划
- 英文: ProjRed|Exploration
- 类型: 发包刷任意物品,特定方块
- RedGive:
- 中文: 红石计划
- 英文: ProjRed|Transportation
- 类型: 发包刷任意物品,特定方块
- RFCellDupe:
- 中文: RF工具箱&应用能源2
- 英文: RFTools & ae2|appliedenergistics2
- 类型: 给手中的AE能量单元直接设置满电,为RFTools的BUG
- TainedAura:
- 中文: 污秽魔法
- 英文: Tainted Magic
- 类型: 范围性攻击生物,如果生物是玩家,自己攻击自己
- 范围: 只在R7版本上存在,1.x版本没有该BUG
- ThaumicFinger:
- 中文: 神秘视界
- 英文: ThaumicHorizons
- 类型: 强制打开研究工作台
- ThaumicInvise:
- 中文: 神秘视界
- 英文: ThaumicHorizons
- 类型: 给玩家添加隐身效果,非自慰
- ThaumResearch:
- 中文: 神秘时代
- 英文: Thaumcraft
- 类型: 发包全解,和全研究点
- TinkerChest:
- 中文: 工匠
- 英文: TConstruct
- 类型: 强制打开匠魂背包界面,就算没有装备背包
- TinkerGive:
- 中文: 工匠
- 英文: TConstruct
- 类型: 发包刷任意物品,最新版存在但是不能使用
- TinkerNoFall:
- 中文: 工匠
- 英文: TConstruct
- 类型: 跌落无伤
- TravellersGive:
- 中文: 旅者之器
- 英文: TravellersGear
- 类型: 发包刷任意物品
- TurretNuker:
- 中文: 开放式炮台
- 英文: OpenModularTurrets
- 类型: 范围内方块破坏
- ZtonesMeta:
- 中文: Ztones
- 英文: Ztones
- 类型: 改手上物品子id
除了填鸭式修复这些有Bug的MOD,别无他法~
所以说,将这些Bug反馈给作者,等待修复,记得更新就好。
修复方案:https://www.mcbbs.net/thread-970361-1-1.html
愿早日结束MOD浩劫
纯净腐竹瑟瑟发抖
纯净腐竹瑟瑟发抖
!
奇怪的bug增加了
奇怪的bug增加了
其实我想知道,为什么有那么多人还在坚持1.7.10呢,1.12不是修了很多东西了吗
加油!!!
不过白名单制度改变一切(小声嘟囔)
我去,这么多,也太可怕了
奇怪的经验增加了
不过不是叫bugjump吗
不过不是叫bugjump吗
DreamVoid 发表于 2020-2-25 19:52
其实我想知道,为什么有那么多人还在坚持1.7.10呢,1.12不是修了很多东西了吗 ...
因为热爱,所以1710。
希望赶快修复这个BUG啊!
我得赶紧通知下我朋友了,他开了个服务器
支持
希望不会造成太大损失
其实打开正版认证白名单也是不错的暂时解决方案
希望不会造成太大损失
其实打开正版认证白名单也是不错的暂时解决方案
本帖最后由 Aikini 于 2020-2-25 20:23 编辑
有我搬运的一个MOD诶。。。
我想知道一些专业术语
然后去跟作者反馈XD看错了XD
我想知道一些专业术语
然后去跟作者反馈XD
那么服务器就一个flan枪械MOD和一个NPCmod会有问题吗?祝愿早日解决,杜绝不公平WG
现在应该留个备份,然后事后再开发一个检测残留的插件……
奇怪的芝士增加了awa,但愿早点修复好吧毕竟不是什么好东西
厉害啊大佬
Stevenlaw 发表于 2020-2-25 20:30
那么服务器就一个flan枪械MOD和一个NPCmod会有问题吗?
本服就是flan和npc 经测试同样有效!bug一样可以执行
我一个萌新服主看了害怕的一批
希望能早点解决呢。。这个BUG很恶劣啊
Stevenlaw 发表于 2020-2-25 20:30
那么服务器就一个flan枪械MOD和一个NPCmod会有问题吗?
已知能利用脚本和nbt提权
虚无世界加npc有问题不
开了白名单有用吗
看到这个我大惊,我写的辣鸡mod也没验证安全性
等等,我的mod没写发包
等等,我的mod限制单端(客户端)
哦,没我事了
等等,我的mod没写发包
等等,我的mod限制单端(客户端)
哦,没我事了
NEI居然也会受影响?
这东西很常用呢
这东西很常用呢
虽然我早就不开1.7了 但是还是怕啊 如果这东西1.12也有了 那么目前所有的模组服都会受到很严重的打击
3368429073 发表于 2020-2-25 21:53
已知能利用脚本和nbt提权
那么问题来了 NPCmod脚本必须开了命令方块才有用,我把命令方块关了是不是就能杜绝提权了?
DGai 发表于 2020-2-25 21:17
本服就是flan和npc 经测试同样有效!bug一样可以执行
那你有没有试过只有flan和NPCmod。然后关闭命令方块测试?
所以说,这个作弊啥时候能结束
所以谁来我的服务器卡一下试试,成功了给100 zfb红包bug好恐怖啊
Stevenlaw 发表于 2020-2-25 22:27
那你有没有试过只有flan和NPCmod。然后关闭命令方块测试?
没测试过,但是明确的和你说当我卡上创造或者op时连后台的指令报告都没有
完全不走服务端 直接点一下作弊界面就成了..
所以谁来我的服务器卡一下试试,成功了给100 zfb红包
匠魂的“最新版存在但是不能使用”是什么意思
就是说最新版匠魂就无法刷物品吗?
就是说最新版匠魂就无法刷物品吗?
纯净服真好23333
DGai 发表于 2020-2-25 22:39
没测试过,但是明确的和你说当我卡上创造或者op时连后台的指令报告都没有
完全不走服务端 直接点一下作弊 ...
给个联系方式吧
有一说一,我不知道楼主有没有去看他mod写的啥,和注入器的源码。都是插件能解决的事情,加上正确配置,不会有这些毛病。
Stevenlaw 发表于 2020-2-25 22:50
给个联系方式吧
qq1092946932
1.12.2mod服腐竹瑟瑟发抖,有危险的mod服务器里占了一大把(哭)
我居然不知道,我qu。。
diy_diy 发表于 2020-2-25 22:50
有一说一,我不知道楼主有没有去看他mod写的啥,和注入器的源码。都是插件能解决的事情,加上正确配置,不 ...
你可真能张口就来,满口胡言,为了水贴甚至罔顾事实,
既然你这么能解决,
那么就请大佬您发布解决方案,如何配置来跟出问题吧!
DreamVoid 发表于 2020-2-25 19:52
其实我想知道,为什么有那么多人还在坚持1.7.10呢,1.12不是修了很多东西了吗 ...
就我个人而已,我比较喜欢神秘,但神秘6弃坑 附属工匠等也停更
所以我选择了完善的1.7.10emmmm
愿早日结束mod浩劫,行尸走肉腐竹瑟瑟发抖
删除插件mod是不能的吗
楼主牛B!楼主雄起!
说实话我服务器里没一个你说的mod
这个东西应该有办法解决
楼主能联系下qq982754469 说下这个bug的具体情况吗
楼主能联系下qq982754469 说下这个bug的具体情况吗
mod服的浩劫开始了?