Способы краша и взлома серверов майнкрафт + фиксы для админов

В данной теме я расскажу про некоторые способы краша и взлома серверов майнкрафт, а так-же предоставлю фиксы на них для админов серверов. Некоторые способы уже могли немного устареть или подходят только под версии 1.12.2 и ниже, но есть и универсальные. Прямо сильно старые по типу //calc я уже не стал трогать.

➤ Способ взлома с помощью Bungee UUID Spoof.

Способ

Данный способ уже очень долгое время мусолит мозги админам серверов. Многие не подозревают, что при создании ******-сервера (связки серверов) авторизацию можно обойти, имея прямой IP сервера. Для взлома нам необходим этот IP и порт внутреннего сервера. Если сервера расположены на разных узлах(IP), это может сильно усложнить задачу. Предположим, что ****** и сам сервер находятся на одном дедике. Мы можем с помощью сканера портов выяснить открытые порты, и попытаться на них зайти в майне ;
Если при заходе вам высветит данную ошибку, то поздравляю, вы нашли один из сервов:

IMG

Далее нам нужен какой-то чит, в котором есть функция UUID Spoof. Например, Jessica 1.12.2. При открытии этой функции вам должно высветить 2 поля ввода: Fake IP и Fake Nick. В поле Fake IP мы вводим любой ip, это и будет считаться вашим ip при подключении. А в Fake Nick мы вводим ник админа или игрока, которого хотим взломать.
Сохраняем и заходим на сервер. Воуля, теперь у вас есть права админа или указанного игрока.

Фикс данного способа

Фиксом является защита внутренних портов сервера.
Фикс(1 способ): закрытие порта. Вы можете разрешить соединения только с определенного IP ******-сервера, другие же будут блокироваться. Для этого лучше всего подойдет Firewall. Как его настраивать есть куча гайдов, не буду расписывать. Но его можно использовать только если у вас есть доступ к VDS, однако если у вас его нет, можно использовать плагин IPWhitelist.

Фикс(2 способ): наложение пароля. Вы можете "запаролить" соединение с помощью плагина BungeeGuard (если у вас ****** BungeeCord), если же у вас ****** Velocity, вы можете использовать функционал ядра.

➤ Способ краша с помощью ботов.

Способ

Вы можете крашнуть сервер, отправляя огромное кол-во ботов. Для этого можно использовать различные сервисы по типу Axarius.
Фикс: создание ******-сервера (связки серверов) Velocity или BungeeCord(+BotFilter) ; плагины по типу nAntiBot.

➤ Способ краша с помощью лаг-машин.

Способ

Вы можете построить на сервере специальные лаг-машины, которые при запуске создадут сильные лаги, а может и краш. Существует много различных видов лаг-машин, можете поискать в сети. Вот одна из статей на эту тему.
Фикс: использовать методы оптимизации сервера (в т.ч. редстоуна), использовать плагин AntiRedstoneClock для запрета бесконечного зацикливания механизмов.

➤ Способ краша с помощью поршня и шалкера. [работает только на серверах 1.12.2 и ниже]

Способ

Видео о данном способе уже есть на ютубе. Там все кратко и понятно сказано.
Фикс: плагин DispenserShulkerBoxCrashFix, или другие с похожим функционалом.

➤ Способ краша с помощью команды от FAWE.

Способ

В плагине FastAsyncWorldEdit некоторое время назад был баг, что при написании в чате:
/<КОМАНДА> for(i=0;i<99999;i++){for(j=0;j<256;j++){for(k=0;k<256;k++){for(a=0;a<256;a++){ln(pi)}}}}
и нажатие TAB, сервер крашился. Список команд: /to ; /tar ; /target ; /targetmask ; /targetoffset ; //to ; //tar ; //target ; //targetmask ; //targetoffset ; /br to ; /br tar ; /br target ; /br targetmask ; /br targetoffset ; //br to ; //br tar ; //br target ; //br targetmask ; //br targetoffset ; /brush to ; /brush tar ; /brush target ; /brush targetmask ; /brush targetoffset ; //brush to ; //brush tar ; //brush target ; //brush targetmask ; //brush targetoffset ; /vis ; /visual ; /visualize ; //vis ; //visual ; //visualize ; /br vis ; /br visual ; /br visualize ; //br vis ; //br visual ; //br visualize ; /brush vis ; /brush visual ; /brush visualize ; //brush vis ; //brush visual ; //brush visualize
Фикс: обновить плагин FastAsyncWorldEdit.

➤ Способ краша с помощью редстоуна и люка. [работает примерно от 1.16]

Способ

Данный способ описан на rubukkit.
Фикс: там так-же и указан фикс.

➤ Способ краша и возможно взлома с помощью NBT тегов.

Способ

Здесь опять же есть множество всяких вариаций. Нужно учитывать, что для всей этой херни вам понадобится креатив (/gamemode 1).
Например, можно создать фейерверк с дальностью полета 100, при его запуске крашнет сервер.
Можно создать длинные названия предметов и их lore, и раскидывать их по всему серверу.
Про (возможный взлом) я имел в виду специальные книги, при нажатии на любой текст в которых срабатывает автоматическое написание команды(к примеру /op ВАШ_НИК) от вашего имени. Вы можете дать эту книгу админу и попросить нажать.
Можно использовать всякие возможности в читах, которые позволяют выдать эти особые предметы. В общем так-же можете поискать в сети различные способы.
Фикс: плагины ItemFixer, ExploitFixer, возможно другие с похожим функционалом.

➤ Способ взлома и краша с помощью хак-команд в плагинах.

Способ

Здесь либо вам повезет, и вы случайно найдете хак-команду какого-то зараженного плагина ; либо вам придется самому создавать хак-плагин, в который зашьёте бекдор.
Фикс: не качать плагины со всяких говноисточников, от левых типов. Официальные источники: Spigot, Bukkit, Curseforge.

Тема может обновляться и дополняться в будущем. Спасибо за внимание!