社区新闻 全球半数《我的世界》服务器均受影响，微软发现 MCCrash 新型僵尸网络

[小关]

本文转载至：https://www.ithome.com/0/661/577.htm

IT之家 12 月 16 日消息，微软研究人员近日发现了一种同时针对 Windows 和 Linux 平台的混合型僵尸网络，该网络使用一种高效的技术来攻击《我的世界》服务器，并可在多个平台上发起分布式拒绝服务攻击（DDoS）。

IT之家了解到，微软将这个僵尸网络标记为“MCCrash”，Windows 和 Linux 设备在感染之后会被黑客劫持用于 DDoS 攻击。


值得注意的是，在僵尸网络软件接受的命令中有一条是“ATTACK_MCCRASH”。此命令使用 ${env:random payload of specific size:-a} 填充 Minecraft 服务器登录页面中的用户名。该字符串会耗尽服务器的资源并让其崩溃。



微软研究人员表示：“该命令使用 env 变量来使用 Log4j 2 库，导致系统资源异常消耗（与 Log4Shell 漏洞无关），这是一种特定且高效的 DDoS 方法。目前大量《我的世界》服务器受到影响” 。

目前，MCCrash 的硬编码显示仅针对《我的世界》服务器软件的 1.12.2 版本。然而，这种攻击技术还可以对运行 1.7.2 到 1.18.2 版本的服务器发起 DDoS 更新，这意味着全球超过一半的《我的世界》服务器都会受到影响。

MCCrash 的初始感染点是安装了声称为 Microsoft 操作系统提供盗版许可证的软件的 Windows 计算机。隐藏在下载软件中的代码会偷偷地用恶意软件感染设备，最终安装 malicious.py，这是一个为僵尸网络提供主要逻辑的 python 脚本。受感染的 Windows 设备随后会扫描 Internet 以搜索接受 SSH 连接的 Debian、Ubuntu、CentOS 和 IoT 设备。

找到后，MCCrash 会使用常见的默认登录凭据来尝试在 Linux 设备上运行相同的 malicious.py 脚本。Windows 和 Linux 设备都会劫持用于攻击《我的世界》服务器。



MCCrash 的初始感染点是安装了声称为 Microsoft 操作系统提供盗版许可证的软件的 Windows 计算机。隐藏在下载软件中的代码会偷偷地用恶意软件感染设备，最终安装 malicious.py，这是一个为僵尸网络提供主要逻辑的 python 脚本。受感染的 Windows 设备随后会扫描 Internet 以搜索接受 SSH 连接的 Debian、Ubuntu、CentOS 和 IoT 设备。

找到后，MCCrash 会使用常见的默认登录凭据来尝试在 Linux 设备上运行相同的 malicious.py 脚本。Windows 和 Linux 设备都会劫持用于攻击《我的世界》服务器。

 

[MixerWangDev]

激活工具怎么快就带毒了？都是大佬

 

[MixerWangDev]

激活工具和mc服务器本来就没有瓜葛的，结果一个bug直接出事了

 

[雪风先生]

等下，.py文件！他居然会自动安装pythion前置？.py文件需要安装pythion开发工具并且保证不能安装错版本（不同版本资源库不一样）外加上自己装脚本所需依赖也算是第一次遇到。。。
会不会有一定的造假成分？？？毕竟IT之家这种小企业团队消息也是不大可信的

 

[雪风先生]

激活工具和mc服务器本来就没有瓜葛的，结果一个bug直接出事了

可能是假消息，.py这种文件需要安装pythion前置（不能装错版本）并且拉取脚本所需依赖才能正常源码运行，况且这种.py文件一般的杀毒软件都能检测到他的问题的（应该的）

 

[MixerWangDev]

可能是假消息，.py这种文件需要安装pythion前置（不能装错版本）并且拉取脚本所需依赖才能正常源码运行，况且这种.py文件一般的杀毒软件都能检测到他的问题的（应该的）

要么是激活工具搞的鬼（在后台下载Python），但这本来就是个不可能，如果一个激活工具去下载Python，就可能算作是被微软打击的对象。再者，激活Win10的方法本来就贼多（有许可证的主板，有许可证的微软号均能激活Windows）。如果是换做Linux，些许可以引起这样的事件（有的Linux设备可能预装了Python）

 

[雪风先生]

要么是激活工具搞的鬼（在后台下载Python），但这本来就是个不可能，如果一个激活工具去下载Python，就可能算作是被微软打击的对象。再者，激活Win10的方法本来就贼多（有许可证的主板，有许可证的微软号均能激活Windows）。如果是换做Linux，些许可以引起这样的事件（有的Linux设备可能预装了Python）

确实，发出这消息的是国内一个小团队，本身信息不太靠谱。。。
还有这种脚本运行杀毒软件都看在眼里，发现不对软件直接拦截报错（事实，连360都能干得出来。。。）

 

[MixerWangDev]

再者是mc的面板服，这些服务器可能安装了Python，而搭载病毒的激活工具只是传输这个病毒。
前文也说了激活工具可能后台下载Python，如果可能，咱们可能需要让病毒在无法连接Python服务器的电脑上运行试试

 

[MixerWangDev]

原贴

 

[雪风先生]

再者是mc的面板服，这些服务器可能安装了Python，而搭载病毒的激活工具只是传输这个病毒。
前文也说了激活工具可能后台下载Python，如果可能，咱们可能需要让病毒在无法连接Python服务器的电脑上运行试试

面板基本上都用php做的，还没见过用pythion写的，不过有一个插件加载器是用的pythion写的，但已经交给llbds来帮助注入，而且现在开服用的pythion都是编译好了的二进制文件，不会受到没有pythion前置的影响的

 

[一本附魔书]

等下，.py文件！他居然会自动安装pythion前置？.py文件需要安装pythion开发工具并且保证不能安装错版本（不同版本资源库不一样）外加上自己装脚本所需依赖也算是第一次遇到。。。
会不会有一定的造假成分？？？毕竟IT之家这种小企业团队消息也是不大可信的

指正：python
python本来就是一个简单的工具，我也安装过，很快，3～10秒就完成了，《我的世界》服务器会安装也是十亿分正常的！

 

[一本附魔书]

并且自己可以手动去python.org找个安装包啊！

 

[雪风先生]

指正：python
python本来就是一个简单的工具，我也安装过，很快，3～10秒就完成了，《我的世界》服务器会安装也是十亿分正常的！

不懂别乱说
python是个编程语言，其代码编程放在一个后缀名为.py的文件下，任何的.py文件都需要安装相应版本的python开发环境和相应的拓展才能启动

 

[雪风先生]

但windows会拦截提示[关于这点我不太清楚]（包括杀毒软件）

 

[一本附魔书]

不懂别乱说
pythion是个编程语言，其代码编程放在一个后缀名为.py的文件下，任何的.py文件都需要安装相应版本的pythion开发环境和相应的拓展才能启动

指正：python！
Python官网

 

[一本附魔书]

不懂别乱说
pythion是个编程语言，其代码编程放在一个后缀名为.py的文件下，任何的.py文件都需要安装相应版本的pythion开发环境和相应的拓展才能启动

不就是main.py嘛

 

[雪风先生]

指正：python！
Python官网

哦，打错字了呀，请忽略QAQ
我说你咋这么急呢

 

[一本附魔书]

哦，打错字了呀，请忽略QAQ
我说你咋这么急呢

终于对了

 

[一本附魔书]

等下，.py文件！他居然会自动安装pythion前置？.py文件需要安装pythion开发工具并且保证不能安装错版本（不同版本资源库不一样）外加上自己装脚本所需依赖也算是第一次遇到。。。
会不会有一定的造假成分？？？毕竟IT之家这种小企业团队消息也是不大可信的

《pythion》

 

[雪风先生]

我决定来告诉这个新闻的猫腻吧（绝对这信息是缝合怪）
此信息是我的一个编程大佬朋友告诉我的
1.python没有main函数，其程序入口也没有规定一定是main.py，可以是其他函数
2.文中提到的log4j2是Java程序用到的一种日志库，之前有爆过MCJava版服务器核心的漏洞就是这玩意，但mc基岩版服务器是使用C++写的，并没有用到Java语言