EXTREME Hack-Attacke

[Cytoox]

Extrem Viele Leute haben OP und zerstören alles und jeden
-> Server ist Premium
-> Sie nutzen den Befehl /omch op
-> Es sind viele
Hier ein Log Ausschnitt:

Spoiler

2012-07-17 19:26:40 [INFO] [ChestShop] Enabling ChestShop v3.42
2012-07-17 19:26:40 [INFO] [ChestShop] LWC version 4.2.1 (b700-git-MANUAL) (May 20, 2012) loaded.
2012-07-17 19:26:40 [INFO] Zensiert
2012-07-17 19:26:40 [INFO] Zensiert
2012-07-17 19:26:40 [INFO] [LogBlock] Enabling LogBlock v1.52
2012-07-17 19:26:40 [INFO] [LogBlock] [LogBlock] Permissions plugin not found. Using Bukkit Permissions.
2012-07-17 19:26:40 [INFO] [LogBlock] [LogBlock] Scheduled consumer with bukkit scheduler.
2012-07-17 19:26:40 [INFO] [LogBlock] LogBlock v1.52 by DiddiZ enabled.
2012-07-17 19:26:40 [INFO] Zensiert
2012-07-17 19:26:40 [INFO] Zensiert
2012-07-17 19:26:40 [INFO] [LogBlockQuestioner] Disabling LogBlockQuestioner v0.02
2012-07-17 19:26:40 [INFO] LogBlockQuestioner disabled
2012-07-17 19:26:40 [INFO] Zensiert
2012-07-17 19:26:40 [INFO] Zensiert
2012-07-17 19:26:40 [INFO] [Multiverse-Inventories] Disabling Multiverse-Inventories v2.4-b121
2012-07-17 19:26:40 [INFO] [Multiverse-Inventories 2.4-b121] disabled.
2012-07-17 19:26:40 [INFO] Zensiert
2012-07-17 19:26:40 [INFO] Zensiert
2012-07-17 19:26:40 [INFO] [SimpleSpleef] Enabling SimpleSpleef v3.0.17
2012-07-17 19:26:40 [INFO] SimpleSpleef v3.0.17 is loading.
2012-07-17 19:26:40 [INFO] [SimpleSpleef] Vault hooked as economy plugin.
2012-07-17 19:26:40 [INFO] [SimpleSpleef] Vault hooked as permission plugin.
2012-07-17 19:26:40 [INFO] [SimpleSpleef] Found WorldEdit 5.3. Using it for selections.
2012-07-17 19:26:40 [INFO] Zensiert
2012-07-17 19:26:40 [INFO] Zensiert
2012-07-17 19:26:40 [INFO] [Citizens] Disabling Citizens v1.2
2012-07-17 19:26:40 [INFO] [Citizens] version [1.2] disabled.
2012-07-17 19:26:40 [INFO] FICKT
2012-07-17 19:26:40 [INFO] FICKEUCHIHREJUDEN
2012-07-17 19:26:40 [INFO] [Permission***] Enabling Permission*** v1.19.2
2012-07-17 19:26:40 [INFO] [Permission***] Superperms support enabled.
2012-07-17 19:26:40 [INFO] [Permission***] v1.19.2 enabled
2012-07-17 19:26:40 [INFO] [Vault][Permission] Permission*** hooked.
2012-07-17 19:26:40 [INFO] [Vault][Chat] Permission***_Chat hooked.
2012-07-17 19:26:40 [INFO] Essentials: Using Permission*** based permissions.
2012-07-17 19:26:40 [INFO] Zensiert
2012-07-17 19:26:40 [INFO] Zensiert
2012-07-17 19:26:40 [INFO] [ChestShop] Disabling ChestShop v3.42
2012-07-17 19:26:40 [INFO] Zensiert
2012-07-17 19:26:40 [INFO] Zensiert
2012-07-17 19:26:40 [INFO] [Votifier] Enabling Votifier v1.7
2012-07-17 19:26:40 [INFO] Loaded vote listener: essEcoListener
2012-07-17 19:26:40 [INFO] Votifier enabled.
2012-07-17 19:26:40 [INFO] Zensiert
2012-07-17 19:26:40 [INFO] Zensiert
2012-07-17 19:26:40 [INFO] [EssentialsChat] Disabling EssentialsChat v2.9.2
2012-07-17 19:26:40 [INFO] Zensiert
2012-07-17 19:26:40 [INFO] Zensiert
2012-07-17 19:26:40 [INFO] [SpamGuard] Disabling SpamGuard v0.4
2012-07-17 19:26:40 [INFO] SpamGuard is now disabled.

????

 

[monkey]

Hmm... ist der Server wirklich Premium?

 

[Sternenwandererin]

Habe mal bissel was Zensiert, muss ja nicht sein.

 

[Moskitos]

Sieht nach nem alten Bukkitproblem aus. Habt ihr die aktuelle Version drauf?

 

[Cytoox]

Ja, Ja Premium

 

[monkey]

Hm dan is es echt schon nen extremer hack weil sie ja auf nen Premium Server joinen mit diesen namen.

 

[MIssingNo]

Das ist doch bestimmt ein Root/vServer? Dann fahr als erstes mal alle FTP und HTTP Dienste runter. Als nächtes änderst du alle Passwörter und dann checkst du die SSHD und FTP Logs. Danach machste ein Backup vom Server, sofern du fahrlässigerweise keines hast.

Und dann kannste dich nochmal melden und man kann weiterforschen.

 

[monkey]

Session stealer ?

Also ich glaub nicht das man damit auf nen Premium Server mit so Komischen name Joinen kann

 

[Gelöschter Nutzer]

Ja wollte ich auch schreiben wbkkramer als ich das Thema gesehen hab ^^

 

[Cytoox]

Noch ein Ausschnitt:

Spoiler

2012-07-17 19:40:08 [INFO] /77.3.71.199:56275 lost connection
2012-07-17 19:40:09 [INFO] /91.62.93.202:49610 lost connection
2012-07-17 19:40:09 [INFO] [Cytooxien_Haupt][Lechim] jop
2012-07-17 19:40:10 [INFO] [CommandLogger] Player 'aiTMaster' used command: '/omch Spam FICKEN'
2012-07-17 19:40:11 [INFO] Erstelle leere Konfiguration: /games/ni32713_5/ftproot/minecraftbukkit/plugins/Essentials/userdata/ottifant3000.yml
2012-07-17 19:40:11 [INFO] ottifant3000 [/95.33.152.145:49643] logged in with entity id 2320 at ([Cytooxien_Haupt] 152.5, 64.62000000476837, 318.5)
2012-07-17 19:40:11 [INFO] [TopPVP]: Creating player ottifant3000
2012-07-17 19:40:11 [WARNING] [Essentials] For input string: ""
2012-07-17 19:40:11 [WARNING] §cDiese Ausrüstung existiert nicht oder ist ungültig.
2012-07-17 19:40:13 [INFO] /93.220.153.30:51159 lost connection
2012-07-17 19:40:13 [INFO] /77.3.71.199:56276 lost connection
2012-07-17 19:40:14 [INFO] [CommandLogger] Player 'Lechim' used command: '/ban otti'
2012-07-17 19:40:14 [INFO] [PLAYER_COMMAND] Lechim: /ban otti
2012-07-17 19:40:14 [INFO] ottifant3000 lost connection: user was kicked.
2012-07-17 19:40:17 [INFO] [Cytooxien_Haupt][ww96] i´m ***y and i know ot
2012-07-17 19:40:17 [INFO] /77.3.71.199:56277 lost connection
2012-07-17 19:40:17 [INFO] [CommandLogger] Player 'aiTMaster' used command: '/ban ottifant3000'
2012-07-17 19:40:17 [INFO] [PLAYER_COMMAND] aiTMaster: /ban ottifant3000
2012-07-17 19:40:22 [INFO] Disconnecting ottifant3000 [/95.33.152.145:49706]: Banned: Der Bann-Hammer hat gesprochen!
2012-07-17 19:40:22 [INFO] /77.3.71.199:56278 lost connection
2012-07-17 19:40:25 [INFO] Disconnecting Cytoox [/93.217.107.164:58506]: Banned: Der Bann-Hammer hat gesprochen!
2012-07-17 19:40:26 [INFO] §5[Wichtiges] §1V§2o§3t§4e§5t §4für uns und erhaltet §6400$ §1| §4Einfach /warp
2012-07-17 19:40:26 [INFO] §4Voten
2012-07-17 19:40:26 [INFO] /77.3.71.199:56279 lost connection
2012-07-17 19:401 [INFO] /77.3.71.199:56280 lost connection
2012-07-17 19:401 [INFO] [CommandLogger] Player 'kevin1440' used command: '/'
2012-07-17 19:403 [INFO] [CommandLogger] Player 'aiTMaster' used command: '/omch SPAM Im scheky and i knof it'
2012-07-17 19:403 [INFO] [*HardStyle Cytooxien_Haupt][Moderator | Keding] näää
2012-07-17 19:406 [INFO] /77.3.71.199:56281 lost connection
2012-07-17 19:406 [INFO] [CommandLogger] Player 'Lechim' used command: '/tp ww'
2012-07-17 19:406 [INFO] [PLAYER_COMMAND] Lechim: /tp ww
2012-07-17 19:407 [INFO] [CommandLogger] Player 'ww96' used command: '/pl'
2012-07-17 19:409 [INFO] /86.56.126.71:53698 lost connection
2012-07-17 19:40:40 [INFO] [CommandLogger] Player 'Lechim' used command: '/tp ait'
2012-07-17 19:40:40 [INFO] [PLAYER_COMMAND] Lechim: /tp ait
2012-07-17 19:40:40 [INFO] /77.3.71.199:56282 lost connection
2012-07-17 19:40:42 [INFO] [CommandLogger] Player 'Lechim' used command: '/tp kev'
2012-07-17 19:40:42 [INFO] [PLAYER_COMMAND] Lechim: /tp kev
2012-07-17 19:40:45 [INFO] /77.3.71.199:56283 lost connection
2012-07-17 19:40:45 [INFO] [CommandLogger] Player 'Lechim' used command: '/tp ww'
2012-07-17 19:40:45 [INFO] [PLAYER_COMMAND] Lechim: /tp ww
2012-07-17 19:40:46 [INFO] [CommandLogger] Player 'aiTMaster' used command: '/gm'
2012-07-17 19:40:46 [INFO] [PLAYER_COMMAND] aiTMaster: /gm
2012-07-17 19:40:48 [INFO] [CommandLogger] Player 'LynXx_' used command: '/omch spam hacked by me'
2012-07-17 19:40:49 [INFO] [CommandLogger] Player 'ww96' used command: '/omch spam'
2012-07-17 19:40:49 [INFO] /77.3.71.199:56285 lost connection
2012-07-17 19:40:54 [INFO] /77.3.71.199:56286 lost connection
2012-07-17 19:40:54 [INFO] [CommandLogger] Player 'LynXx_' used command: '/omch op'
2012-07-17 19:40:56 [INFO] [CommandLogger] Player 'ww96' used command: '/tp yi'
2012-07-17 19:40:56 [INFO] [PLAYER_COMMAND] ww96: /tp yi

Haben Authme, glaube nicht das es daran liegt!

 

[Cytoox]

Naja, wir waren ja Cracked haben gerade auf Premium gestellt!

 

[Endless1989]

"Ein Server für die Ewigkeit!"


Vielleicht Fremd Plugins installiert? Haben sie dir vorher gesagt - komm auf den Server, die klauen deinen Spawn ect ect?

Sieht laut log stark nach einem Plugin aus, was sie dir aufgeschwatzt haben...

 

[Cytoox]

Ist ein Nitrado Server, waren nie solche auf dem Server

 

[monkey]

Also der Server ist kein Premium hab grad mal nachgeschaut.

 

[Gelöschter Nutzer]

Dann haben die das geändert die Hacker.

 

[MIssingNo]

Okay, dann änder auf jeden Fall mal alle Passwörter von Nitrado.

Bleibt nurnoch, dass es entweder eine alte Bukkit Version ist, oder eines deiner Plugins ne Backdoor hat.

Edit sagt, der Server läuft scheinbar im offline Modus. In diesem Fall brauchste dich nicht wundern, da kann ich auch mit 100 Bots auf deinem Server connecten. AuthMe lässt sich durch Social Engeneering sehr leicht umgehen. Frag mal lieber deine Mit-Admins

Edit2: Ihr müsst mal in dem Serverforum gucken, das ist auch ganz nett anzusehen

 

[Darkrael]

"Edit2: Ihr müsst mal in dem Serverforum gucken, das ist auch ganz nett anzusehen "

Dieser Angriff ist dass beste was jemals passiert ist!
Cracked Server, nehmt euch in acht.
Unbekannte "Hacker" --> macht weiter *_*!

 

[Solarkocher]

Das ganze hört sich sehr geplant an. Er schreibt in euerem Forum, dass er weitere Cracked-Server hacken will. Evtl. sollte man diese warnen. Zumindest in Kontakt treten.

Wenn ich mich nicht auch ganz Irre ist das ganze strafbar. Den genauen Gesetztesauszug habe ich leider nicht parat. Trotzdem würde ich alles sichern, was du zu diesem Angriff auffinden kannst.

 

[Solarkocher]

Zitat von »Cytoox«
Extrem Viele Leute haben OP und zerstören alles und jeden
-> Server ist Premium


????


Aber das finde ich frech.

Was?

 

[MIssingNo]

Das ist doch alles vollkommen latte. Mir ist kein Exploit für Bukkit bekannt. Er hat einfach seinen Server nicht richtig abgesichert. Da gibts nichts zu "warnen". Klar isses Strafbar. Aber trozdem absolut zu vernachlässigen. Habt ihr wenigstens externe Backups?

Und ansonsten weiß ich nicht, was immer dieser Hass auf "cracked Server" soll. Das ist doch kein Crack, das ist ein verdammtes Feature von Minecraft. Natürlich haben sich die Leute das nicht unbedingt gekauft, aber wen interessiert das? Mojang jedenfalls nicht.

Stichwort: Hackerparagraph