Minecraft
смари умираю
92 583

Как взламывают сервера в Minecraft

Привет, новый подраздел! Решил в честь открытия рассказать вам из личного опыта о том, как взламывали и взламывают сервера на RU Проектах!

В закладки
Лучше этой пикчи ничего интересного не отыскал. Но подходит под тему идеально!

Заглянем в прошлое

Чтобы рассказать о более популярных методах взлома, я решил показать вам старый способ, очень древний.

Это на столько старый баг, что в то время существовал FalseBook.

Хакер

Как всё работало:
1)Устанавливаем Nodus

2)Заходим в minecraft со стандартным ником (Своим)

3)Заходим на сервер, и смотрим ник модератора или админа

4)Выходим с сервера, запускаем во втором окне еще 1 minecraft

5)Заходим во вкладку Account Settings

6)Пишем слеш и ник админа или модератораПримерно так (/admin228 )

7)Заходим со второго minecraft на сервер со стандартным ником, ждем пока кикнет (Когда кикнет нечего не нажимать)

8)Когда кикнуло со второго аккаунта и пишем ( /op "свой ник" ) и выходим

9)Заходим с основного и у вас есть админка

Второй способ взлома админки (через табличку)

1)Запускаем minecraft , заходим на сервер.

2)Выживаем, крафтим табличку, Ставим табличку на землю.

3)Пишем во второй строчке

Взлом через BungeeCord

Данная вещь уже по серьёзнее, и в свои времена трепала почти каждому третьему проекту нервы. Не только нервы, но и силы. Так как даже мы не понимали по началу каким образом ломали наши сервера.

Суть данного способа заключается в открытых портах, через которые подключался человек, после чего можно было творить всё что душе угодно. На самом деле способ тоже довольно старый, и я нашёл только способ его решения.

BungeeCord фикс:

1. Заходим в наш SSH клиент и прописываем команду - "/sbin/iptables -A INPUT -i eth0 -p tcp --dport ВАШ_ПОРТ -j DROP"Отвечаю на вопрос что делает эта команда: Она закрывает все входящие соединения(кроме локального) на этот порт, чтобы другие не могли к нему подключится. Для чего это нужно? Ну, чтобы другие не могли подключится к вашему серверу, допустим с другого банджига(Всю историю долго объяснять, как будет время распишу все). Где написано ВАШ_ПОРТ указываем порт именно вашего СЕРВЕРА. Если присутствуют другие сервера их порты тоже надо закрыть, обязательно или краша не избежать.

2. Если у вас нет доступа к SSH делаем следующее... Заходим скачиваем плагин и устанавливаем на ваш сервер(Spigot), потом заходим в config.yml BungeeCord устанавливаем ipforwarding: true, после чего заходим в spigot.yml(На сервере) и устанавливаем bungeecord: false. Перезагружаем сервер и бандж, PROFIT.Подробнее о настройке самого плагина:proxyIP: 127.0.0.1 - это айпи вашей главной прокси(BungeeCord)playerKickMessage: '&cYou have to join through the proxy.' - сообщение которое будет высвечиваться при входе на сервер. Рекомендую написать что-то типа - "На сервер можно зайти только с айпи: мк.мойсервер.ру"В этом плагине есть один недочет, у всех игроков один айпи собственно делаем вывод, что нельзя никого банить по айпи или весь сервер забанится .3. Если сервер и bungeecord стоят на одной машине, то вопрос решается настройкой сервера. В server.properties ставим server-ip=127.0.0.1 Это отключит приём сервером входящих соединений из интернета, т.е. к серверу подключиться в обход bungeecord не выйдет.

Spigot фикс:

1. Это скорее не фикс, а совет. Перестаньте скачивать плагины с разных помоек вроде групп ВКонтакте или рандомных сайтов. 3 ресурса с которых нужно качать плагины - bukkit.org spigotmc.org curse.com. Обычно этого они и добиваются, пишут мол - "слив плагина с ДЦПсервера", а на самом деле они просто хотят вам туфту подсунуть, чтобы потом разломать ваш сервер.З.Ы - кто пострадал от взлома советую перекачать плагины с официальных источников, дабы потом не мучаться.

2. Запретите использовать важные админские команды(authme ,pex, stop, save-all и т.д) в чате игры, разрешите только в консоли, для этого можно использовать плагин nocheatplus(строка на скрине).

Подмена UUID

Самый забавный способ, связан данный способ с включённой функцией "Сессионной авторизации" в плагине на авторизацию. У каждого игрока есть уникальный номер - UUID. Плагин на авторизацию его сверяет, если он совпадает то пропускает этап ввода пароля. На самом деле теперь такого уже нет, так как в новых версиях AuthMe это было исправлено.

Изменённые плагины

Ещё смешнее способ, суть его состоит в вшитом эксплоите в плагине. Точнее, в вшитой команде внутри плагина. Этим способом пользовались Ютуберы в Ру сегменте по майнкрафту, снимая "Сливы школо-серверов". Они загружали готовые сборки серверов на форумы по игре, загружали в эти сборки плагин, в котором сидел злой Эксплоит.

Список подобных команд, которые вшивали в плагины. После их выполнения выдавался полный доступ (в плагине Пермишенс выдавалась "*" эта звёздочка в плагине значит, что вам выдаются права на все команды)

Взлом через бибилотеку - /signa

Флуд Протект - /fp help 18971712

АвтоСообщение - /am add название листа, - /am название команда

/sudo - СвойНик команда_без_слеша

/server - назввание сервера, или же можно зайти под ником md_5 и у него есть эта команда и можете тпхать любого

/send - назввание сервера, или же можно зайти под ником md_5 и у него есть эта команда и можете тпхать любого

/ncp delay op ник- выполняет команду от лица консоли

/hack

/sigma

/core

/hoTb43fd help 18971712

/nethernetwork2skingworld76

/eb give me op

Хакер

Под конец

Способ, с которым столкнулся наш проект. В плагине сохранения мира, была целая строчка, которая связанна с прямым доступом к файлам сервера. Если поставить не то значение - можно слить полную сборку сервера. Просто выкачать. У нас такое произошло, самый жуткий косяк. Но к счастью, на нас данный слив почти не повлиял.

{ "author_name": "смари умираю", "author_type": "self", "tags": [], "comments": 24, "likes": 16, "favorites": 7, "is_advertisement": false, "subsite_label": "minecraft", "id": 68959, "is_wide": false, "is_ugc": true, "date": "Tue, 10 Sep 2019 19:22:30 +0300", "is_special": false }
My.Games
Игроков важнее всего удивлять: итоги джема MY.GAMES
Лучшие результаты показали проекты, в которых есть удачный микс механик и/или новые идеи.
Объявление на DTF
0
24 комментария
Популярные
По порядку
Написать комментарий...
3

Помню, как раньше играл в майркрафт... была своя гильдия, так пару игроков взламывали админов и накидывали много разных предметов... так и стали топовой гильдией на сервере... ехх, времена )

Ответить
0

А что, собственно, делает взлом админки через табличку?

Ответить
1

Давным давно, он выдавал админ-права. Через таблички можно было команды выполнять. 

Ответить
0

А сейчас на дешёвых серверах сработает? Исключительно в ознакомительных целях)

Ответить
0

Сервер с таким старым билдом - золото.

Ответить
0

а можете дать ip такого сервера

Ответить
0

почему я не смог взломать

Ответить
0

Я не понимаю первый способ, а как узнать пароль от аккаунта?

Ответить
0

У меня не чего не сработало

Ответить
0

Я один зашёл сюда чтобы защитить свой серв а не взломать чужой? 

Ответить
0

Нет, не один

Ответить
0

мммм а как уменя спавн конечно не сработалал а зделай чтобы можно было ещё и взламовать игроков

Ответить
0

привет я могу дать тебе прогу для взлома любого сервера : (не хайпиксель и тому подобных) вот вк напиши https://vk.com/stasrahmatulin

Ответить
0

ПРОШУ НЕ ПИСАТЬ БОЛЬШЕ НЕТУ!!!

Ответить
0

пачему не работает не магу взламать 

Ответить
0

алексею в ватсапп напишите 89602337537

Ответить
0

мне алексей помог спасибо ему вот его номер кому нужно 89602337537

Ответить
0

Кто знает как установить нодус в тлаунчер?

Ответить
0

мне тут помогли со взломом ватсапп.вайбер и вк )
а так же найти данные о человеке по номеру телефона
vzlom.alexei@gmail.com
8-960-233-75-37
@vzlomalexei телеграмм

спасибо алексею 

Ответить
0

188.127.241.10:25598 
я тут взломал!

Ответить
0

На счёт таблички не понял,в квадратных скобках свой ник?

Ответить
0

ку всем все читы вроди рабочие но на большаи части ето уже неработает!..

Ответить

Комментарий удален

{ "jsPath": "/static/build/dtf.ru/specials/DeliveryCheats/js/all.min.js?v=05.02.2020", "cssPath": "/static/build/dtf.ru/specials/DeliveryCheats/styles/all.min.css?v=05.02.2020", "fontsPath": "https://fonts.googleapis.com/css?family=Roboto+Mono:400,700,700i&subset=cyrillic" }