【Lv:1】
- 注册
- 2024/09/07
- 消息
- 2
- 金粒
- 1,787金粒
目录:
1.前言
2.教训
3.简单的事件始末
4.攻击者使用的手段&服务器被攻击表现
5.总结
6.声明
(欢迎转载或二创,注明原帖出处即可,无需通知作者)
(附事件始末,对方攻击手法和服务器被攻击后结果)
1.前言
请所有java私服服主注意!近期国外组织SKYNET活动,对java版mc服务器(主要是离线服)进行破坏。目前本人服务器已被炸(已恢复备份)。
本人搜索发现非个例,又考虑到目前网上关于该组织的信息较少,因此特发帖公之于众,希望大家吸取我的教训。
据攻击者(或组织)自述,它(或它们)已经炸了2w个服务器
2.教训
不多bb,先说教训:
离线服务器,就算是不公开的私人服务器,也一定一定一定要加登录插件!!!不要以为不泄露地址就没事,几个人玩图方便不装登录插件!!!只要你用了内网穿透,扫描就能找到你的服务器!
本人的私服从未公开ip地址,玩的人也就几个,因此我的好大儿服务器管理&运维对服务器进行了大刀阔斧的精简,在我不知情的情况下直接给Authme砍了。(?!)他以为不泄露地址就没事,结果还是寄了。事后发现对方使用端口扫描扫描到的服务器域名。
(类似于下图这种快递员看了说要撕码的大件货,此人并非本事件中的攻击者)
还有我们的甲级战犯管理:
3.简单的事件始末
以下是事件始末:
11月末,我们的好管理发现服务器报错了打不开,但是并未报告服主(?!),于是自己尝试解决报错。
12月初,服主询问了服务器的具体情况,才得知服炸了,但是当时以为问题不大,于是继续交由管理来修(我作为服主也够唐的)。
12月14日,服主尝试接手并更换设备运行,但未能成功
12月15日,与管理再次测试服务器,发现服务器均不能运行,在不同设备上服务器表现为卡死自动退出和吃满硬件资源卡死
下午13:40,管理员求助发现服务器被SKYNET炸了,随后公示全群
也就是说,从11月末到12月中,该不明炸服组织已经活跃了至少半个月,
且在国内发现了大量被炸服的例子(暂未找到国外服务器被炸事例,欢迎补充)
以下是国内被炸服务器的帖子
转自CSDN用户 @搞事Offical
前言:就算是私人的服务器,也一定要加验证插件好吧!这波是我的疏忽。没有做安全防护
4.攻击者使用的手段&服务器被攻击表现
下面是该组织使用的攻击手法和被攻击服务器的状态:
1.攻击者使用的攻击手段:
扫描端口扫描到可以攻击的离线服,先登录一个管理员账号,对游戏规则进行修改,随后登录其他账号开始破坏。
详解:
1.攻击者通过端口扫描等手段搜索到内网穿透节点后可攻击的服务器
2.攻击者寻找可登入的离线私服,并修改游戏规则,以方便其他账号进入游戏破坏
3.攻击者使用其他账号进入服务器,开始破坏,包括但不限于填充岩浆,放置凋零等
附日志
(注意:以下账户slime_mc和mervin均为攻击者盗用)
CSDN用户 @搞事Offical 详细记录了服务器被攻击的全过程(转自CSDN,侵删)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44510325/article/details/143984420
==========
14:31:16 op进入世界,并使用
/gamerule sendCommandFeedback true(不显示命令反馈)
/gamerule keepInventory false(关闭死亡不掉)
/pardon (恢复白名单,与/unban同理)
/gamerule doImmediateRespawn true(死亡后立即重生)
/gamerule mobGriefing true(允许破坏世界)
/gamerule doDaylightCycle false(关闭日夜交替)
/whitelist off(关闭白名单)
/difficulty hard(游戏模式:困难)
/gamerule doFireTick true(火蔓延并不熄灭)
/execute as @a run summon minecraft:wither ~ ~ ~ {Invulnerable:1b,CustomName:‘{“text”:“MOUNTAINSOFLAVAINC T-800 Terminator”,“color”:“red”}’}(创建凋零,并且命名为:MOUNTAINSOFLAVAINC T-800 Terminator,设置为红色名字)
/execute as @a run summon minecraft:fireball ~ ~ ~ {Motion:[0.0,-5.0,0.0],ExplosionPower:127b,CustomName:‘{“text”:“WATCHMOUNTAINSOFLAVAINCONYOUTUBE”,“color”:“red”}’}(创建了一个火球,名字为:WATCHMOUNTAINSOFLAVAINCONYOUTUBE,设置名字为红色)
/execute as @a run fill ~21 ~8 ~21 ~-21 ~-8 ~-21 lava(填充岩浆)
然后每个玩家都给了op(推测:先看玩家文件里面谁是op,然后用那个账号进入游戏。开始执行上述命令)
14:35:56 最后一个玩家写的↓
/scoreboard objectives add 8izvmz2j80 dummy {“text”:" !!!TERMINATED BY SKYNET!!! —> Mountains of Lava Inc. —> Please email any concerns to: molcomplaints@***********.com"}(已做屏蔽处理)
==========
对比可见,两服务器被炸手段几乎如出一辙,因此可以确定为同一攻击者所为
被攻击的服务器会在登录后出现类似“你的服务器被SKYNET炸了,可通过???邮箱联系他们”的提示
以下是服务器被炸后的状况(上图为本人服务器被炸后的情况,下图为csdn用户 @搞事Offical 服务器被炸后状况)
警告:不要试图访问对方的邮箱和discord账户!本人对可能造成的人身和财产损失不负责任
对比后可发现二者的留言同样高度相似,因此仍然可确定为同一组织
5.总结
结语:
私服同样需要加登陆验证插件!不要以为你的服务器不公开ip地址(或域名)就不会被炸!尤其是用内网穿透的服主们!
还有,务必做好备份!!!
==========
6.声明
本帖部分内容来源于其他帖转载,若有侵权请联系删除。
本人无责,也无力保证帖内出现的网站和邮箱内容绝对安全,也无法保证这些网站内容不会出现变更,本人对可能造成的人身和财产损害不负责任。
本人分享案例仅供参考和总结经验教训,不提供技术支持和帮助
欢迎大家转载或二创该贴,注明出处即可,无需联系作者
1.前言
2.教训
3.简单的事件始末
4.攻击者使用的手段&服务器被攻击表现
5.总结
6.声明
(欢迎转载或二创,注明原帖出处即可,无需通知作者)
(附事件始末,对方攻击手法和服务器被攻击后结果)
1.前言
请所有java私服服主注意!近期国外组织SKYNET活动,对java版mc服务器(主要是离线服)进行破坏。目前本人服务器已被炸(已恢复备份)。
本人搜索发现非个例,又考虑到目前网上关于该组织的信息较少,因此特发帖公之于众,希望大家吸取我的教训。
据攻击者(或组织)自述,它(或它们)已经炸了2w个服务器
2.教训
不多bb,先说教训:
离线服务器,就算是不公开的私人服务器,也一定一定一定要加登录插件!!!不要以为不泄露地址就没事,几个人玩图方便不装登录插件!!!只要你用了内网穿透,扫描就能找到你的服务器!
本人的私服从未公开ip地址,玩的人也就几个,因此我的好大儿服务器管理&运维对服务器进行了大刀阔斧的精简,在我不知情的情况下直接给Authme砍了。(?!)他以为不泄露地址就没事,结果还是寄了。事后发现对方使用端口扫描扫描到的服务器域名。
(类似于下图这种快递员看了说要撕码的大件货,此人并非本事件中的攻击者)
还有我们的甲级战犯管理:
3.简单的事件始末
以下是事件始末:
11月末,我们的好管理发现服务器报错了打不开,但是并未报告服主(?!),于是自己尝试解决报错。
12月初,服主询问了服务器的具体情况,才得知服炸了,但是当时以为问题不大,于是继续交由管理来修(我作为服主也够唐的)。
12月14日,服主尝试接手并更换设备运行,但未能成功
12月15日,与管理再次测试服务器,发现服务器均不能运行,在不同设备上服务器表现为卡死自动退出和吃满硬件资源卡死
下午13:40,管理员求助发现服务器被SKYNET炸了,随后公示全群
也就是说,从11月末到12月中,该不明炸服组织已经活跃了至少半个月,
且在国内发现了大量被炸服的例子(暂未找到国外服务器被炸事例,欢迎补充)
以下是国内被炸服务器的帖子
转自CSDN用户 @搞事Offical
[记录]国外团伙摧毁我的私人Minecraft服务器。后台log+分析
https://blog.csdn.net/weixin_44510325/article/details/143984420前言:就算是私人的服务器,也一定要加验证插件好吧!这波是我的疏忽。没有做安全防护
4.攻击者使用的手段&服务器被攻击表现
下面是该组织使用的攻击手法和被攻击服务器的状态:
1.攻击者使用的攻击手段:
扫描端口扫描到可以攻击的离线服,先登录一个管理员账号,对游戏规则进行修改,随后登录其他账号开始破坏。
详解:
1.攻击者通过端口扫描等手段搜索到内网穿透节点后可攻击的服务器
2.攻击者寻找可登入的离线私服,并修改游戏规则,以方便其他账号进入游戏破坏
3.攻击者使用其他账号进入服务器,开始破坏,包括但不限于填充岩浆,放置凋零等
附日志
(注意:以下账户slime_mc和mervin均为攻击者盗用)
CSDN用户 @搞事Offical 详细记录了服务器被攻击的全过程(转自CSDN,侵删)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44510325/article/details/143984420
==========
14:31:16 op进入世界,并使用
/gamerule sendCommandFeedback true(不显示命令反馈)
/gamerule keepInventory false(关闭死亡不掉)
/pardon (恢复白名单,与/unban同理)
/gamerule doImmediateRespawn true(死亡后立即重生)
/gamerule mobGriefing true(允许破坏世界)
/gamerule doDaylightCycle false(关闭日夜交替)
/whitelist off(关闭白名单)
/difficulty hard(游戏模式:困难)
/gamerule doFireTick true(火蔓延并不熄灭)
/execute as @a run summon minecraft:wither ~ ~ ~ {Invulnerable:1b,CustomName:‘{“text”:“MOUNTAINSOFLAVAINC T-800 Terminator”,“color”:“red”}’}(创建凋零,并且命名为:MOUNTAINSOFLAVAINC T-800 Terminator,设置为红色名字)
/execute as @a run summon minecraft:fireball ~ ~ ~ {Motion:[0.0,-5.0,0.0],ExplosionPower:127b,CustomName:‘{“text”:“WATCHMOUNTAINSOFLAVAINCONYOUTUBE”,“color”:“red”}’}(创建了一个火球,名字为:WATCHMOUNTAINSOFLAVAINCONYOUTUBE,设置名字为红色)
/execute as @a run fill ~21 ~8 ~21 ~-21 ~-8 ~-21 lava(填充岩浆)
然后每个玩家都给了op(推测:先看玩家文件里面谁是op,然后用那个账号进入游戏。开始执行上述命令)
14:35:56 最后一个玩家写的↓
/scoreboard objectives add 8izvmz2j80 dummy {“text”:" !!!TERMINATED BY SKYNET!!! —> Mountains of Lava Inc. —> Please email any concerns to: molcomplaints@***********.com"}(已做屏蔽处理)
==========
对比可见,两服务器被炸手段几乎如出一辙,因此可以确定为同一攻击者所为
被攻击的服务器会在登录后出现类似“你的服务器被SKYNET炸了,可通过???邮箱联系他们”的提示
以下是服务器被炸后的状况(上图为本人服务器被炸后的情况,下图为csdn用户 @搞事Offical 服务器被炸后状况)
警告:不要试图访问对方的邮箱和discord账户!本人对可能造成的人身和财产损失不负责任
对比后可发现二者的留言同样高度相似,因此仍然可确定为同一组织
5.总结
结语:
私服同样需要加登陆验证插件!不要以为你的服务器不公开ip地址(或域名)就不会被炸!尤其是用内网穿透的服主们!
还有,务必做好备份!!!
==========
6.声明
本帖部分内容来源于其他帖转载,若有侵权请联系删除。
本人无责,也无力保证帖内出现的网站和邮箱内容绝对安全,也无法保证这些网站内容不会出现变更,本人对可能造成的人身和财产损害不负责任。
本人分享案例仅供参考和总结经验教训,不提供技术支持和帮助
欢迎大家转载或二创该贴,注明出处即可,无需联系作者
- 内容版权许可
- CC BY-SA 署名-相同方式共享
最后编辑:
![LKey —— 添加一个新的快捷键 “L”🎄 [1.12.X~1.21.X]](/data/resource_icons/11/11120.jpg?1744090998){kind=icon}
![KcQuizMaster —— 一款轻量级的聊天趣味🙋♂️问答插件 [1.12.X~1.21.X]](/data/resource_icons/9/9483.jpg?1726899656){kind=icon}
