В данной теме я расскажу про некоторые способы краша и взлома серверов майнкрафт, а так-же предоставлю фиксы на них для админов серверов. Некоторые способы уже могли немного устареть или подходят только под версии 1.12.2 и ниже, но есть и универсальные. Прямо сильно старые по типу //calc я уже не стал трогать. ➤ Способ взлома с помощью Bungee UUID Spoof. Способ Данный способ уже очень долгое время мусолит мозги админам серверов. Многие не подозревают, что при создании ******-сервера (связки серверов) авторизацию можно обойти, имея прямой IP сервера. Для взлома нам необходим этот IP и порт внутреннего сервера. Если сервера расположены на разных узлах(IP), это может сильно усложнить задачу. Предположим, что ****** и сам сервер находятся на одном дедике. Мы можем с помощью сканера портов выяснить открытые порты, и попытаться на них зайти в майне ; Если при заходе вам высветит данную ошибку, то поздравляю, вы нашли один из сервов: IMG Далее нам нужен какой-то чит, в котором есть функция UUID Spoof. Например, Jessica 1.12.2. При открытии этой функции вам должно высветить 2 поля ввода: Fake IP и Fake Nick. В поле Fake IP мы вводим любой ip, это и будет считаться вашим ip при подключении. А в Fake Nick мы вводим ник админа или игрока, которого хотим взломать. Сохраняем и заходим на сервер. Воуля, теперь у вас есть права админа или указанного игрока. Фикс данного способа Фиксом является защита внутренних портов сервера. Фикс(1 способ): закрытие порта. Вы можете разрешить соединения только с определенного IP ******-сервера, другие же будут блокироваться. Для этого лучше всего подойдет Firewall. Как его настраивать есть куча гайдов, не буду расписывать. Но его можно использовать только если у вас есть доступ к VDS, однако если у вас его нет, можно использовать плагин IPWhitelist. Фикс(2 способ): наложение пароля. Вы можете "запаролить" соединение с помощью плагина BungeeGuard (если у вас ****** BungeeCord), если же у вас ****** Velocity, вы можете использовать функционал ядра. ➤ Способ краша с помощью ботов. Способ Вы можете крашнуть сервер, отправляя огромное кол-во ботов. Для этого можно использовать различные сервисы по типу Axarius. Фикс: создание ******-сервера (связки серверов) Velocity или BungeeCord(+BotFilter) ; плагины по типу nAntiBot. ➤ Способ краша с помощью лаг-машин. Способ Вы можете построить на сервере специальные лаг-машины, которые при запуске создадут сильные лаги, а может и краш. Существует много различных видов лаг-машин, можете поискать в сети. Вот одна из статей на эту тему. Фикс: использовать методы оптимизации сервера (в т.ч. редстоуна), использовать плагин AntiRedstoneClock для запрета бесконечного зацикливания механизмов. ➤ Способ краша с помощью поршня и шалкера. [работает только на серверах 1.12.2 и ниже] Способ Видео о данном способе уже есть на ютубе. Там все кратко и понятно сказано. Фикс: плагин DispenserShulkerBoxCrashFix, или другие с похожим функционалом. ➤ Способ краша с помощью команды от FAWE. Способ В плагине FastAsyncWorldEdit некоторое время назад был баг, что при написании в чате: /<КОМАНДА> for(i=0;i<99999;i++){for(j=0;j<256;j++){for(k=0;k<256;k++){for(a=0;a<256;a++){ln(pi)}}}} и нажатие TAB, сервер крашился. Список команд: /to ; /tar ; /target ; /targetmask ; /targetoffset ; //to ; //tar ; //target ; //targetmask ; //targetoffset ; /br to ; /br tar ; /br target ; /br targetmask ; /br targetoffset ; //br to ; //br tar ; //br target ; //br targetmask ; //br targetoffset ; /brush to ; /brush tar ; /brush target ; /brush targetmask ; /brush targetoffset ; //brush to ; //brush tar ; //brush target ; //brush targetmask ; //brush targetoffset ; /vis ; /visual ; /visualize ; //vis ; //visual ; //visualize ; /br vis ; /br visual ; /br visualize ; //br vis ; //br visual ; //br visualize ; /brush vis ; /brush visual ; /brush visualize ; //brush vis ; //brush visual ; //brush visualize Фикс: обновить плагин FastAsyncWorldEdit. ➤ Способ краша с помощью редстоуна и люка. [работает примерно от 1.16] Способ Данный способ описан на rubukkit. Фикс: там так-же и указан фикс. ➤ Способ краша и возможно взлома с помощью NBT тегов. Способ Здесь опять же есть множество всяких вариаций. Нужно учитывать, что для всей этой херни вам понадобится креатив (/gamemode 1). Например, можно создать фейерверк с дальностью полета 100, при его запуске крашнет сервер. Можно создать длинные названия предметов и их lore, и раскидывать их по всему серверу. Про (возможный взлом) я имел в виду специальные книги, при нажатии на любой текст в которых срабатывает автоматическое написание команды(к примеру /op ВАШ_НИК) от вашего имени. Вы можете дать эту книгу админу и попросить нажать. Можно использовать всякие возможности в читах, которые позволяют выдать эти особые предметы. В общем так-же можете поискать в сети различные способы. Фикс: плагины ItemFixer, ExploitFixer, возможно другие с похожим функционалом. ➤ Способ взлома и краша с помощью хак-команд в плагинах. Способ Здесь либо вам повезет, и вы случайно найдете хак-команду какого-то зараженного плагина ; либо вам придется самому создавать хак-плагин, в который зашьёте бекдор. Фикс: не качать плагины со всяких говноисточников, от левых типов. Официальные источники: Spigot, Bukkit, Curseforge. Тема может обновляться и дополняться в будущем. Спасибо за внимание!
добавлю от себя способ на который я наткнулся сам, нам нужен сервер с кастомной генерацией (в моем случае был креатив сервер с плотами), берем дельфина и жмем на него сердцем моря (при нажатии дельфин ищет какие-то подводные структуры, но их нет, поэтому в консоли начинается ебейший флуд ошибками, сервер залагивает и падает), тестировал на 1.15.2, пользуйтесь
тема неплохая, но это довольно примитивные способы) ожидал увидеть что-то сложнее, например атаку по протоколу udp с нескольких машин
jo612, А как ты думал? Практически на каждый взлом/уязвимость есть фикс, тем более статья не только для крашеров, а еще для админов серверов