Hacker nerven

[cubesworld]

Hallo Leute,

Ich bräuchte mal eure Tipps.

Wir wurden über ein verseuchtes Plugin gehackt und Sie infizierten unser gesamtes Netzwerk. (Ich habe daraufhin alle Server Platt gemacht und neu hochgezogen, sämtliche Plugins neu heruntergeladen und auch mit Virenscanner überprüft.

Frage:
Auf was soll ich in Zukunft bei Plugins achten? Also bezüglich SourceCode?
Ich werde zukünftig alle Plugins dekompilieren und den Sourcecode anschauen.
Was ich bisher schon hörte, man solle nach Streams suchen und natürlich auch OP.

Sonst noch Tipps wie ich infizierte Plugins ausfindig machen könnte?

PS: Alle Plugins hatten wir von Spigot. Ich verliess mich leider Blind darauf, dass die Plugins auf dieser Plattform sauber sind. Doch dem ist nicht so.

Danke für Eure Hilfe.

 

[Chrisliebär❤️]

Hast du denn das Plugin finden können, das dafür verantwortlich war? Ich hätte da tatsächlich Interesse dran mir das anzusehen. Die Plugins auf spigotmc.org sind außerdem auch nicht alle überprüft. Und nach meiner Erfahrung sind ~80% der Plugins dort schlichtweg Müll. Die überwiegende Mehrheit ist dabei aber einfach schlecht programmiert. Es handelt sich daher gar nicht mal um Schadcode, sondern einfach nur um schlechten Code voller Bugs.

Was du dagegen tun kannst ist jemanden finden, der genug Ahnung hat um die Qualität der Plugins bewerten zu können. Das schließt zwar nicht aus, dass Schadcode dabei ist, aber ich bin davon überzeugt, dass auch in diesem Fall eine Sicherheitslücke für das Problem verantwortlich war. Ich kann dir aber auch direkt sagen, dass du daann viele große Plugins, wie beispielsweise Core Protect und Essentials ebenfalls nicht mehr nutzen brauchst, denn die sind mitunter die größten Verbrechen der Softwaregeschichte, nach Nvidia Grafiktreibern.

Als Laie hast du keine Chance eine gut versteckte Backdoor zu finden, das kannst du absolut vergessen. Glücklicherweise werden solche Plugins häufig von Anfängern geschrieben und lassen sich daher tatsächlich leicht erkennen. Dekompilieren kannst du machen, wirst du in jedem mittelgroßen Plugin jedoch kaum noch stemmen können. Und wenn da ein setOp drin steht wars eh lächerlich.

Schwieriges Thema und vor allem gibts für Serverbetreiber kaum eine Möglichkeit etwas dagegen zu machen. Solange du aber nicht genau weiß was vorgefallen ist, würde ich übrigens nicht behaupten, dass das ein Plugin von Spigot war.

 

[Baba43]

Auf was soll ich in Zukunft bei Plugins achten?

Plugins nur aus offiziellen Quellen beziehen (ggf. den Autor prüfen) und auf keinen auf keinen Fall von Blackspigot oder ähnlich.

Ich werde zukünftig alle Plugins dekompilieren und den Sourcecode anschauen.

Das wirst Du nicht schaffen.

Obwohl ich viele Jahre einen Server betrieben habe und auch viele externe Plugins nutze, hatte ich noch nie ein derartiges Problem.

Woher willst Du überhaupt wissen, dass ein Plugin infiziert war?

 

[cubesworld]

Naja die haben Konsolen Nachrichten abgesetzt. Jedoch nur auf einem der Unterserver. Aktuell gerade wieder. Der Server ist nun offline und ich warte darauf das Sie die anderen versuchen zu hacken.

15:53:10 INFO]: [Server] SERVER HACKED BY -> LinkRemoved / JOIN SUPPORT CHANNEL TO GET UNHACKED

CoreProtect und Essentials sind auf dem Server...

Ich habe ausschliesslich alle Plugins von Spigot. (Bukkit für Worldedit).

Die Server habe ich aber mit Firewalls von aussen abgesichert, was mir sagt, die müssen über ein Plugin kommen. Welches das ist, habe ich leider noch nicht rausgefunden

Aber Danke schon mal für eure Hinweise

 

[Baba43]

Offline Server?

 

[cubesworld]

Offline Server?

Bungeecord Netzwerk

Das coreprotect Plugin ist nun weg, und ein zusätzliches Auth (2fa) Plugin für OPs hab ich nun auch installiert.

Der betroffene Server mache ich Platt und zieh Ihn neu hoch...

 

[Malfrador]

Gab vor ein paar Wochen Updates von mehreren Plugins, die eine Malware (mit Backdoor sogar ^^) enthalten haben. Wurden über übernommene Accounts von größeren Entwicklern verteilt. Ist die gleiche Malware, die seit ein paar Monaten ihren Umlauf macht - nutzt irgendwie Javaassist und relativ schlechte Obfuscation, nistet sich allerdings relativ bösartig auch in der JVM-Installation ein.

Spigots "Kontrollen" sind ein absoluter Witz. Außer Plugins selbst kompilieren bleibt dir tatsächlich nicht allzu viel übrig.
Warum hier Essentials erwähnt wird verstehe ich allerdings nicht ganz. Wenn dir eine Sicherheitslücke in EssentialsX bekannt ist, melde diese doch bitte einfach im Bugtracker anstatt hier mit haltlosen Behauptungen ein etabliertes und passables Plugin schlechtzumachen.

 

[Chrisliebär❤️]

Warum hier Essentials erwähnt wird verstehe ich allerdings nicht ganz. Wenn dir eine Sicherheitslücke in EssentialsX bekannt ist, melde diese doch bitte einfach im Bugtracker anstatt hier mit haltlosen Behauptungen ein etabliertes und passables Plugin schlechtzumachen.

Woher plötzlich die Behauptung mit Sicherheitslücken und Backdoors kommt kann ich nicht nachvollziehen. Ich hab lediglich auf die schlechte Codequalität der beiden Plugins hingeweisen, welcher beispielhaft für die überwiegende Mehrheit aller Plugins steht und in der Regel auch mit der Anfälligkeit gegenüber Sicherheitslücken korreliert werden kann, mindestens aber mit schlechter Performance.

Die Alternative ist halt selbst entwickeln, was den meisten nicht in besserer Qualität gelingen dürfte, oder damit leben. Dennoch ist Code Qualität nach dem, was mir so bisher immer begegnet ein massives Problem, weshalb ich grundsätzlich Backups vorziehen würde und persönlich in jedes Plugin kurz reinschau, das ich installiere. Das ist jedoch ein Luxus, den die meisten Serverbetreiber nicht haben, das ist mir auch klar.

Die Server habe ich aber mit Firewalls von aussen abgesichert, was mir sagt, die müssen über ein Plugin kommen. Welches das ist, habe ich leider noch nicht rausgefunden

Da liegt leider ein Irrglaube vor, wie eine Firewall funktioniert. Du kannst mit einer Firewall nicht verhindern, dass dein Server von Schadcode befallen wird und das ist auch grundsätzlich nicht die Aufgabe einer Firewall. Was hier passiert ist, ist das du dir ein infiziertes Plugin runtergeladen hast. Ob das im Zusammenhang mit den von @Malfrador beschriebenen Angriffen steht, lässt sich schwer sagen. Tatsächlich ist das aber ein beliebter Angriffsvektor, da die meisten Serverbetreiber damit überfordert sind ihre Serverdateien aufzuräumen. Der Schadcode fügt sich dabei selbst in alle Plugins und die Serverdatei ein. Sobald eine davon wieder geladen wird, verbreitet er sich weiter.

Vermutlich wäre es auch möglich zusätzlich andere Teile der JVM zu befallen, keine Ahnung ob das passiert, aber wenn du das Problem vollständig lösen möchtest, solltest du davon ausgehen, dass sämtliche Dateien, auf welche der Serverprozess Zugriff hatte betroffen sind. Effektiv würde ich allen .bat, .sh und .jar Dateien nicht mehr vertrauen.

 

[cubesworld]

Vermutlich wäre es auch möglich zusätzlich andere Teile der JVM zu befallen, keine Ahnung ob das passiert, aber wenn du das Problem vollständig lösen möchtest, solltest du davon ausgehen, dass sämtliche Dateien, auf welche der Serverprozess Zugriff hatte betroffen sind. Effektiv würde ich allen .bat, .sh und .jar Dateien nicht mehr vertrauen.

Ja darum machte ich die Server Platt und habe alle Plugins wieder von Spigot geholt. Irgendeines davon scheint aber infiziert gewesen zu sein. Noch weiss ich nicht welches.

Ist die gleiche Malware, die seit ein paar Monaten ihren Umlauf macht - nutzt irgendwie Javaassist und relativ schlechte Obfuscation, nistet sich allerdings relativ bösartig auch in der JVM-Installation ein.

Jep, mir viel auf das nachher in jedem Plugin dieser Javassist Ordner vorhanden war. Somit dürfte es für mich bestätigt sein, es kann nichts anderes sein, als ein Plugin, das unsere Hackerangriffe zulässt.

Nur werde ich wohl noch sehr lange danach suchen...

 

[Taminoful]

Jep, mir viel auf das nachher in jedem Plugin dieser Javassist Ordner vorhanden war.

Nur werde ich wohl noch sehr lange danach suchen...

Java Assist hat (generell) nichts damit zutun sondern hat auch sehr legitime Use-Cases - ist also kein absolutes Merkmal für entsprechende Eingriffe. Java Assist kann aber ein Hinweis sein das am Code der Plugins selbst zur Laufzeit rumgespielt wurde. Beides benötigt aber entsprechendes Fachwissen zur Beurteilung.

Somit dürfte es für mich bestätigt sein, es kann nichts anderes sein, als ein Plugin, das unsere Hackerangriffe zulässt.

Nur, weil du dir nicht vorstellen kannst woher es kam, kannst du nicht ausschließen, dass ihr euren Server einfach schlecht eingestellt habt. Es ist nicht immer ein Plugin für Schaden verantwortlich sondern auch oftmals (und meistens) einfach Unwissenheit auf der Betreiberseite die andere Türen öffnet.

Mit den minimalen Informationen die wir hier aber haben ist die Überlegung von Vermutungen und Lösungen für diese sowieso rein symptomatisch.

Abschließend: Spigot ist als Quelle sowieso nicht als sicher einzustufen, wer so fahrlässig eine solch große Seite mit unheimlich veralteter Software betreibt und entsprechend keine Ambitionen hat daran irgendetwas zu verändern ist eine tickende Zeitbombe. Ich warte bereits auf den Tag an dem Spigot entsprechend durch ist, weil einem die eigene fahrlässige Nachlässigkeit das Genick gebrochen hat.

 

[cubesworld]

Nur, weil du dir nicht vorstellen kannst woher es kam, kannst du nicht ausschließen, dass ihr euren Server einfach schlecht eingestellt habt. Es ist nicht immer ein Plugin für Schaden verantwortlich sondern auch oftmals (und meistens) einfach Unwissenheit auf der Betreiberseite die andere Türen öffnet.

Das nenne ich mal richtig frech...

Ich als IT System Engineer weiss sehr wohl was ich tue^^ Doch bei Minecraft Server bin ich erst seit 6 Monaten im Business
So wie du Leute verurteilst, anstatt Ihnen helfen zu wollen, würde wohl nie mehr jemand ein Server öffnen und lernen, wie es funktioniert.

Ich habe im letzten halben Jahr sehr viel dazu gelernt. Insbesondere über Linux.

Ich schrieb in dieses Forum um noch mehr zu lernen. Auf Kommentare wie deine kann ich gänzlich verzichten. Die helfen niemandem.

Zum Thema.

Nach dem erneuten neu Aufsetzen des Servers und viele weitere Sicherheitsanpassungen, habe ich bisher keine Vorfälle mehr sehen können.

Ich hoffe es bleibt nun so.

Danke allen anderen für die Unterstützung.

 

[Oberfail1]

Ansonsten um so etwas in der Zukunft vor zu beugen, könntest du jeden Server in einem Docker Container laufen lassen. Dafür würde sich Pterodactyl ganz gut eignen: https://pterodactyl.io/

 

[cubesworld]

Ansonsten um so etwas in der Zukunft vor zu beugen, könntest du jeden Server in einem Docker Container laufen lassen. Dafür würde sich Pterodactyl ganz gut eignen: https://pterodactyl.io/

Die Lobby und Minigame Server laufen auf Docker aber mit Portainer. Die laufen gut. Für Survival und Citybuild ist Docker zu schwach. (Wegen der CPU Auslastung die nur bedingt auf die Container Instanzen gebunden werden können).

Aber Docker macht definitiv Spass. Leider hatte ich aber auch da ein Server mit einem verseuchten Plugin. Darum ist mir auch im Docker eine Minecraft Instanz gehackt worden. Allerdings nur die eine.

 

[Oberfail1]

Docker sollte eigentlich nahezu keine Unterschiede was die Performance angeht liefern, sicher dass es an Docker liegt?
Portainer ist auch was feines, aber Pterodactyl bietet so einige mehr Vorteile, zum Beispiel dass alle Dateien und co leichter verwaltbar sind mMn.

 

[cubesworld]

sicher dass es an Docker liegt?

Ziemlich sicher. Wir hatten am Anfang nur Docker am Laufen und alle Welten so betrieben. Doch bei grossen Welten, die viele Chunks generierten und viele Mobfarmen hatten, wurde die TPS merklich schwächer. Ich habe fleissig mit Monitoring geschaut, warum wir TPS Einbrüche hatten. Da viel mir halt auf das die CPU-Auslastung alles andere als optimal war. Auch mit dem Flag "cpuset:" ging es nicht flotter voran. Vor allem ab mehr als 15 Spieler.

Wir trennten dann Survival und Citybuild auf je ein separaten Root Server. Seit dem haben wir keine TPS Einbrüche mehr.

Beispiel dass alle Dateien und co leichter verwaltbar sind

Das ist korrekt, das wäre da einfacher.