Дисклеймер. Способы взлома представлены (исключительно) в информативных целях. (нет) Я не подталкиваю никого использовать эти способы, (Наоборот) так как возможно вы понесете за них административное наказание. (Всем насрать) Краткий список взломов: 1. Взлом сервера, который использует связку BungeeCord используя "прямое" подключение к режимам игры, минуя лобби. (Через порты) 2. Продолжаем ломать через порты - пытаемся зайти, но нас отключает с ошибкой: "If you wish to use ipforwarding. please enable it in your bungeecord config as well". 3. Ломаем через порты, но нам преграждает путь плагин AuthMe. 4. Ломаем, используя BungeeCore - тот самый легендарное ядро, автором которого является #yooxa и, который оказался в публичном доступе. 5. Ломаем, используя плагин с изначально встроенной взломкой. 6. Взлом не настроенного bungeecord. Перейдем к описания каждого способа. 1. Взлом сервера, который использует связку BungeeCord используя "прямое" подключение к режимам игры, минуя лобби. (Через порты) Действия "хацкера" : Взломщик, имея при себе лишь IP сервера сканирует его с целью найти открытые порты, находит, меняет в клиенте свой ник на ник админа, входит на сервер используя найденный порт минуя авторизацию (В том случаи если на сервере в режиме "Survival" (к примеру) не стоит плагин на авторизацию. Решение проблемы: ЗАКРЫТИЕ ПОРТОВ. (Как правило, порт BungeeCord - 25565). Серверам без "Бомжекорда" закрывать порты не обязательно. 2. Продолжаем ломать через порты - пытаемся зайти, но нас отключает с ошибкой: "If you wish to use ipforwarding. please enable it in your bungeecord config as well". Описание: В конфиге spigot.yml на сервере жертвы, к которому вы пытаетесь подключится, значение параметра bungeecord выставлено на "true". Эта опция по большей мере отвечает за факт передачи реального IP игрока при подключении к серверу, находящемуся в сети Bungee. Если эта опция включена, то при попытке входа на сервер не через "Банжи" вы будете отключены. К сожалению (или нет), это обходится еще проще, чем вы могли себе представить. Действия "хацкера" : Чтобы обойти этот запрет, взломщик использует глобальную уязвимость Spigot'а, запустит у себя на компьютере безобидный BungeeCord сервер, и подключится через него к серверу по порту, минуя запрет. Сделать это можно разными способами - например, указать в конфиге Bungee дефолтный сервер и задать ему адрес и порт сервера жертвы. Дальше подключаемся к локальному серверу Bungee, и , вуаля мы обошли запрет. Решение проблемы: ЗАКРЫТИЕ ПОРТОВ x2 3. Ломаем через порты, но нам преграждает путь плагин AuthMe. Описание: Вы пытаетесь зайти под ником "одмена" и вам преграждает путь плагин на авторизацию. Действия "хацкера" : Чтобы обойти авторизацию, хакер использует злополучную подмену UUID ( Universally Unique Identifier). У каждого игрока имеется свой уникальные идентификатор (а-ля IP адрес). Всвязи с переходом на новую систему, многие плагины (в том числе и PermissionsEx) перепилили свою структуру, отныне PEX определяет ваши права не по нику, а по UUID, в отличие от AuthMe. Иначе говоря, права теперь привязаны к UUID. Через некоторые чит-клиенты имеют функцию подмены UUID. Подменив UUID свой, на админский вы получите его права. Например можно использовать невинный BungeeCord, который при подключении к серверу, где опция bungeecord установлена на true передаст серверу, тот UUID и IP адрес, который вы заставите его передать. Решение проблемы: ЗАКРЫТИЕ ПОРТОВ x3 4. Ломаем, используя BungeeCore - тот самый легендарное ядро, автором которого является #yooxa и, который оказался в публичном доступе. Описание: Core (ядро) - не имеющая аналогов система, позволяющая устанавливать каналы связи между серверами в сети Bungee, обмениваться данными, синхронизировать несколько ****** серверов одновременно. В этом самом "коре" присутствует интересная функция - команда "sendcommand". Действия "хацкера" : Если хакер обнаруживает, что ваш сервер пользуется "Кором", то он запускает локальный сервер с плагином ProxyConnector, и указывает в его конфиге IP адрес сервера, где стоит "Кор", и без лишних заморочек подключается к "Кору". Ну а дальше, соответственно отправляет команду на любой из подключенных серверов к "Кору", используя "sendcommand". Решение проблемы: Пользоваться чужими разработками, вообще-то не очень-то и здорово, но если у вас есть острая необходимость в использовании "Кора", то вам нужно избежать внешних подключений к порту "Кора" (Порт - 5000). После того, как вы закроете порт "Кора", можете почувствовать себя спокойно. ЗАКРЫТИЕ ПОРТОВ x4 5. Ломаем, используя плагин с изначально встроенной взломкой. Описание: Подсовываем плагин и изначально встроенной взломкой, админам сервера. Действия "хацкера" : Хакер берет "полезный" плагин с изначально встроенной взломкой, и втирается в доверие к админам сервера, которые потом в последствии ставят плагин на сервер. Решение проблемы: Не будьте так доверчивы. 6. Взлом не настроенного bungeecord. Описание: Есть сервера, админы которых либо ленивые, либо не умеют настраивать bungeecord полностью, тем самым подвергая сервер взлому. Действия "хацкера" : Хакер заходит и регистрируется под ником: md_5 на котором обычно, если не настроен BungeeCord лежат права на его управление. Если повезет, то аккаунт будет не зарегистрирован. А если и зарегистрирован то вам придется делать DDos атаку, чтобы слетела база Authme (С BungeeAuth не прокатит). Хакер вводит команду /perms , тем самым видя права bungeecord которые он может использовать. Примеры команд: /end - Остановить сервер. /alert - уведомления на все сервера подключенные к сети Bungee. Решение проблемы: Всегда настраивайте Bungee полностью, иначе вы в опасности и + ЗАКРЫТИЕ ПОРТОВ x5 Софт: [INDENT]НА все архивы пароль: [INDENT][INDENT][INDENT][INDENT][INDENT]lzt[/INDENT][/INDENT][/INDENT][/INDENT][/INDENT][/INDENT] ***** CHECKER: *ТЫК* ЧИТ-КЛИЕНТ С ПОДМЕНОЙ UUID: *ТЫК* DEATHBOT: *ТЫК* ПЛАГИН СО ВСТРОЕННОЙ ВЗЛОМКОЙ: *ТЫК* ИНСТРУКЦИЯ ПО ВШИТИЮ ХАКА В ПЛАГИН: *ТЫК* OPHACK: *ТЫК* PORTSCANNER: *ТЫК* Всем спасибо.
Ты наверное слышал, про программу домера? Тип вписываешь ип, потом ник, он тебе выдает опку. Так вот. Это наебалово же?)