本帖最后由 BellTune 于 2020-2-27 15:00 编辑
你或许知道这件事情:【MCBBS链接】
事实上,在小莫发布警告帖子之前,漏洞已经爆发
而在帖子发布的前几天,还有服主来找我定制修复MOD
然而近期的爆发事件,证明这个bug,远非轻易修复的
首先你们必须要明白这个Bug的类型:
完全没有考虑到服务器大型在线游戏的因素,Forge也是如此,
因此,很多操作都没有经过服务端的数据安全性检验。
举个例子?
OC的电脑能量,就未经过数据性检验,客户端可以通过反射/发包的方式,
直接强制服务器修改其能量,并借此崩溃服务器!
显而易见,这个Bug本质来说也就是常规的漏洞而已,
但问题在于,现在某毛子作弊端将其整合在一起,就显得极具破坏力。
正因此,目前一些小学生和脚本小子正在借此到处搞破坏!危害十分之大!
BugJang虽然总写Bug,但还没有笨到连数据安全性都不验证,
所以原版纯净插件服服主大可不必惊慌,泰然自若。
那么Mod服呢?难道所有Mod服全部成为了刀下肉?
不!或者是!因为这个Bug从深层含义来说,远非一个那么简单!
试想一下,一个Mod开发者不考虑服务器安全性,那其他人呢?
因此,这种因为【不考虑数据安全性】而导致的Bug MOD,远非这些。
除此以外,此Bug的存在,不止1.7.10,包括但不限于任何1.12.2+和Cat/Sponge。
同时,VexView也存在类似的情况,值得庆幸的是,附属并不会犯这些错误,
因为VV的开发者文档已经明确指出了需要注意数据安全性,比如VexSlot,这太棒了!
不过别庆幸太早,如果你的服务器有这些Bug:
变OP、越权指令、崩服、凭空创造物品、传送、破坏,无所不能
这个亲爱的Bug,远非轻而易举修复的,
不可能存在一个插件/MOD,叫你安装了,就彻底根除一切Bug。
但值得庆幸的一点是,要实现这些Bug,需要一些编程能力,虽然要求并不高
但这对于那些小学生和脚本小子来说已经足以是一道门槛,
尽管还有其他Bug没有被发掘,但小学生要想利用他们绝非轻而易举。
除了——
如果你是服务器服主,并且注意到你的服务器有这些MOD,请立即关闭你的服务器,直到黎明!
复制代码我现在和一些大佬正在探讨尝试修复的办法,不过目前
除了填鸭式修复这些有Bug的MOD,别无他法~
所以说,将这些Bug反馈给作者,等待修复,记得更新就好。
修复方案:https://www.mcbbs.net/thread-970361-1-1.html
你或许知道这件事情:【MCBBS链接】
事实上,在小莫发布警告帖子之前,漏洞已经爆发
而在帖子发布的前几天,还有服主来找我定制修复MOD
然而近期的爆发事件,证明这个bug,远非轻易修复的
首先你们必须要明白这个Bug的类型:
究其原因在于,MOD的作者设计之初就是为了单人或基友联机,这个Bug从何而来?
完全没有考虑到服务器大型在线游戏的因素,Forge也是如此,
因此,很多操作都没有经过服务端的数据安全性检验。
举个例子?
OC的电脑能量,就未经过数据性检验,客户端可以通过反射/发包的方式,
直接强制服务器修改其能量,并借此崩溃服务器!
显而易见,这个Bug本质来说也就是常规的漏洞而已,
但问题在于,现在某毛子作弊端将其整合在一起,就显得极具破坏力。
正因此,目前一些小学生和脚本小子正在借此到处搞破坏!危害十分之大!
如果你是一个纯净服服主,那么你完全不必恐慌,Bug的影响范围?
BugJang虽然总写Bug,但还没有笨到连数据安全性都不验证,
所以原版纯净插件服服主大可不必惊慌,泰然自若。
那么Mod服呢?难道所有Mod服全部成为了刀下肉?
不!或者是!因为这个Bug从深层含义来说,远非一个那么简单!
试想一下,一个Mod开发者不考虑服务器安全性,那其他人呢?
因此,这种因为【不考虑数据安全性】而导致的Bug MOD,远非这些。
除此以外,此Bug的存在,不止1.7.10,包括但不限于任何1.12.2+和Cat/Sponge。
同时,VexView也存在类似的情况,值得庆幸的是,附属并不会犯这些错误,
因为VV的开发者文档已经明确指出了需要注意数据安全性,比如VexSlot,这太棒了!
不过别庆幸太早,如果你的服务器有这些Bug:
变OP、越权指令、崩服、凭空创造物品、传送、破坏,无所不能
如果你有读懂我上面在说些什么,那么你应该清楚的是,请救救我们?!
这个亲爱的Bug,远非轻而易举修复的,
不可能存在一个插件/MOD,叫你安装了,就彻底根除一切Bug。
但值得庆幸的一点是,要实现这些Bug,需要一些编程能力,虽然要求并不高
但这对于那些小学生和脚本小子来说已经足以是一道门槛,
尽管还有其他Bug没有被发掘,但小学生要想利用他们绝非轻而易举。
除了——
以下列举了所有目前的作弊端所含有借此崩溃服务器/作弊/刷取物品的列表,该怎么办?
如果你是服务器服主,并且注意到你的服务器有这些MOD,请立即关闭你的服务器,直到黎明!
- AdvertHack:
- 中文: 广告牌
- 英文: Mal**Advert
- 类型: 发包BUG改任意广告牌内容
- BiblioAtlasGive:
- 中文: 展示架/收藏馆
- 英文: BiblioCraft
- 类型: 发包刷物品BUG,特定方块
- BiblioFrameGive:
- 中文: 展示架/收藏馆
- 英文: BiblioCraft
- 类型: 发包刷物品BUG,特定方块
- BiblioSignEdit:
- 中文: 展示架/收藏馆
- 英文: BiblioCraft
- 类型: 强制打开牌子编辑,特定方块
- BiblioTableGive:
- 中文: 展示架/收藏馆
- 英文: BiblioCraft
- 类型: 发包刷物品BUG
- BuildMarkerGive:
- 中文: BC建筑
- 英文: BuildCraft|Builders
- 类型: 发包刷物品BUG
- BuildMarkerGive:
- 中文: BC建筑
- 英文: BuildCraft|Builders
- 类型: 发包刷物品BUG
- CacheGive:
- 中文: 热力膨胀
- 英文: ThermalExpansion
- 类型: 发包BUG,cofh.core.network.PacketTile
- CarpenterUse:
- 中文: 木匠方块
- 英文: CarpentersBlocks
- 类型: 发包远程交互方块BUG
- CrayfishGive:
- 中文: MrCrayfish的家具
- 英文: MrCrayfish's Furniture Mod
- 类型: 发包刷物品BUG
- 类型: 发包远程交互方块BUG
- CrayfishNuker:
- 中文: MrCrayfish的家具
- 英文: MrCrayfish's Furniture Mod
- 类型: 发包将范围内的水设置为空气
- EIOTeleport:
- 中文: 末影接口
- 英文: EnderIO
- 类型: 发包传送
- EIOXpGrab:
- 中文: 末影接口
- 英文: EnderIO
- 类型: 发包改经验方尖碑吸收半径为无限
- MachineChaos:
- 中文: 末影接口
- 英文: EnderIO
- 类型: 发包改机器与管道的每个面的配置为随机
- ExtraFakeSlot:
- 中文: 更多存储单元
- 英文: Extra Cells
- 类型: 发包将任意物品更新到流体过滤器上
- FactoryDupe:
- 中文: 我的工厂
- 英文: MineFactoryReloaded
- 类型: 发包刷物品BUG
- FactoryRocket:
- 中文: 我的工厂
- 英文: MineFactoryReloaded
- 类型: 发包生成火箭实体
- GalacticFire:
- 中文: 星系
- 英文: GalacticraftCore
- 类型: 发包给生物火化
- GiveSelect:
- 中文: NEI
- 英文: NEI
- 类型: 选定任意物品(提供给其他作弊模块使用),不是BUG
- Mal**Doors:
- 中文: 更多门
- 英文: Mal**Doors
- 类型: 发包开门
- MatterGiveItem:
- 中文: 超能物质
- 英文: Matter Overdrive
- 类型: 发包刷物品,特定方块
- MekFire:
- 中文: 通用机械
- 英文: Mekanism
- 类型: 改机器工作时面上的那几个字
- MekOpener:
- 中文: 通用机械
- 英文: Mekanism
- 类型: 发包强制打开私有机器
- NanoTechGive:
- 中文: NanoTech
- 英文: NanoTech
- 类型: 刷任意物品到箱子
- NCPanelEdit:
- 中文: 核电控制
- 英文: Nuclear Control
- 类型: 发包打开核电控制的方块界面
- OpenComputers:
- 中文: 开放式电脑
- 英文: OpenComputers
- 类型: 发包范围关机
- OneWayTicket:
- 中文: 铁路
- 英文: Railcraft
- 类型: 发包修改特定物品
- OpenCreative:
- 中文: 开放式模组
- 英文: OpenMods
- 类型: 发包执行任意代码,这里只执行了设置创造代码
- QuestGive:
- 中文: 更好的任务
- 英文: Better Questing
- 类型: 发包刷任意物品,特定方块
- RadioHack:
- 中文: 音乐收音机
- 英文: Dragon's Radio
- 类型: 发包刷切歌
- RedBarrelGive:
- 中文: 红石计划
- 英文: ProjRed|Exploration
- 类型: 发包刷任意物品,特定方块
- RedGive:
- 中文: 红石计划
- 英文: ProjRed|Transportation
- 类型: 发包刷任意物品,特定方块
- RFCellDupe:
- 中文: RF工具箱&应用能源2
- 英文: RFTools & ae2|appliedenergistics2
- 类型: 给手中的AE能量单元直接设置满电,为RFTools的BUG
- TainedAura:
- 中文: 污秽魔法
- 英文: Tainted Magic
- 类型: 范围性攻击生物,如果生物是玩家,自己攻击自己
- 范围: 只在R7版本上存在,1.x版本没有该BUG
- ThaumicFinger:
- 中文: 神秘视界
- 英文: ThaumicHorizons
- 类型: 强制打开研究工作台
- ThaumicInvise:
- 中文: 神秘视界
- 英文: ThaumicHorizons
- 类型: 给玩家添加隐身效果,非自慰
- ThaumResearch:
- 中文: 神秘时代
- 英文: Thaumcraft
- 类型: 发包全解,和全研究点
- TinkerChest:
- 中文: 工匠
- 英文: TConstruct
- 类型: 强制打开匠魂背包界面,就算没有装备背包
- TinkerGive:
- 中文: 工匠
- 英文: TConstruct
- 类型: 发包刷任意物品,最新版存在但是不能使用
- TinkerNoFall:
- 中文: 工匠
- 英文: TConstruct
- 类型: 跌落无伤
- TravellersGive:
- 中文: 旅者之器
- 英文: TravellersGear
- 类型: 发包刷任意物品
- TurretNuker:
- 中文: 开放式炮台
- 英文: OpenModularTurrets
- 类型: 范围内方块破坏
- ZtonesMeta:
- 中文: Ztones
- 英文: Ztones
- 类型: 改手上物品子id
除了填鸭式修复这些有Bug的MOD,别无他法~
所以说,将这些Bug反馈给作者,等待修复,记得更新就好。
修复方案:https://www.mcbbs.net/thread-970361-1-1.html
愿早日结束MOD浩劫
纯净腐竹瑟瑟发抖
纯净腐竹瑟瑟发抖
!
奇怪的bug增加了
奇怪的bug增加了