Gibt es ein Plugin gegen den OP Hack für den man Buch&Feder braucht?

[2801MC]

Hallo Com,
Wir hatten gestern (oder irgendwann sehr früh heute) einen Hacker bei uns.
Einer unserer Admins gab ihm ein Buch&Feder, wodurch er OP bekam. Ich habe den Server sofort per Befehl gestoppt, den Hacker aus der OP-List in die Banlist verschoben und ein Backup gespeichert.

Gibt es ein Plugin, dass gegen diesen Hack etwas macht?

 

[Silver_GX]

ich glaube dafür ist die 1.8.4 gemacht worden...musst halt nur eben warten bis spigot und so nachziehen...

1.Sollten deine Admins kein OP haben und wenn dann nicht dauerhaft
2.Wenn ihr von solchen hacks wisst einfach keine Buch&feder von usern annehmen
3.Ingame sollten Admin ränge nicht den ' * 'haben also alle wichtigen permission ordentlich einstellen (pex,OP usw quasi entziehen sowas kann man über die Console oder in der config machen)

 

[Malte]

ich glaube dafür ist die 1.8.4 gemacht worden...musst halt nur eben warten bis spigot und so nachziehen...

Auch wenn es hiermit nur begrenzt zutun hat: mit der 1.8.4 wurde dieser Bug nicht gefixt, sondern lediglich ein anderer Bug welcher es ermöglichte einen Minecraft Server, ohne viele Daten übertragen zu müssen, zum Abstürzen zu bringen.

 

[FelixKlauke]

Einfach 'bukkit.command.op.give' Permission auf false setzen und done

 

[2801MC]

Ok, danke!
Für wen muss ich die Permission auf False setzen?
Für alle?

 

[Erebos_DEV]

Für deien Admins, damit dies nicht passieren kann ! Dir selber kannst du es auch auf false setzen so dass du so etwas nur über die Console machst, wenn überhaupt

 

[SilberRegen]

Im Idealfall allen Personen inklusive dir selber.
Rechte die Ingame keiner hat können auch nicht ausgenutzt werden und da du selber Zugriff auf die Dateien und die Konsole hast, sollte es dich nicht behindern, wenn du dir selber auch die entsprechenden Rechte entziehst.

Zusammengefasst wären das:

• /op verbieten (geht z.B. über WorldGuard, die command.yml oder der von @Shinzune genannten Perm)
• niemals * als Permission vergeben
• Permissions, die Usern Rechte hinzufügen können nicht vergeben (z.B. die für /pex user <user> add ... oder /manuadd ...), dafür gibt es die Konsole

Solltest du vorher irgendwo * Permission vergeben haben, wirst du deine Plugins noch mal durchgehen und Einzelpermissions vergeben müssen, die eventuell fehlen.
Bei der Gelegenheit bietet es sich auch an zu überprüfen ob deine Gruppen/Spieler andere Perms haben, die eigentlich nie gebraucht werden und somit rausfliegen können

 

[Payno4]

Ich hatte so einen Typen auch erst auf dem Server , er hat gesagt er würde sich gerne Bewerben und einen Text dazu schreiben , mein Team und ich haben uns schon vorher gedacht , dass das ein Hacker/Griefer sein muss und da wir den Hack schon kannten , wurde uns schnell klar , das man das Buch nicht öffnen sollte . xD Soweit ich weis , ist der Titel des Buches immer " Server " und es muss ein Link im Buch drinstehen , daher würde ich raten , nie ein Buch mit dem Titel Server öffnen , besonders nicht als Owner , da ich glaub , dass der Owner oder einer mit OP das Buch öffnen muss damit es funktioniert .

 

[Inkemann]

Das Buch muss geöffnet und dann eine Verlinkung darin angeklickt werden. Gibt aber noch deutlich bessere "Hacks" (Exploits), wenn die richtigen Plugins installiert sind ^^

 

[Vinnie]

Diese Typen gehen immer öfters rum. Wir selber hatten jetzt mindestens 3 Leute da, die hartnäckig daran festgehalten haben, uns ihre Bewerbung über ein Buch zu übergeben.
Rein aus organisatorischen Gründen lehne ich so was ab, denn dafür gibt es ja unser Forum. Und was es mit diesen Büchern auf sich hat, sollte nun klar sein.

Dies sollte man zu den oberen Punkten auch ergänzen: Bewerbungen sollte man über ein Forum oder ähnlichem organisieren, ist zum einem ordentlicher, seriöser und schreckt solche "Hacker" von vornherein ab.

 

[TheG4mingMax]

Das Problem ist das es wirklich ein Hacked client ist. Und zwar ist er von Dezztroyz. Dieser Hacked client kostet 10€ und durch diesen Hack kann man mit Glück und durch Dummheit des Admin's oder so, zu den OP Rechten kommen, um den Server dann entgültig zu griefen.

 

[SilberRegen]

Das Problem ist nicht der "Hackclient", sondern die schlechte Absicherung vieler Server aus Faulheit oder Unwissen.

Ab und an mag es Sicherheitslücken geben, auf die man als Administrator keinen Einfluss hat (siehe Update auf 1.8.4), aber alles andere ist vermeidbar.
Ich könnte auf meinem eigenen Server so viele Bücherlinks anklicken wie ich will, Rechte bekommt dadurch keiner, weil ich die Rechte dazu gar nicht hab im Spiel. Spiel verdorben für den Angreifer.

 

[Inkemann]

Ab und an mag es Sicherheitslücken geben, auf die man als Administrator keinen Einfluss hat (siehe Update auf 1.8.4), aber alles andere ist vermeidbar.
Ich könnte auf meinem eigenen Server so viele Bücherlinks anklicken wie ich will, Rechte bekommt dadurch keiner, weil ich die Rechte dazu gar nicht hab im Spiel. Spiel verdorben für den Angreifer.

Ja genau, Lücken entstehen, weil Leute unvorsichtig sind. Kein Spieler sollte zum Beispiel die Rechte haben um Op zu setzen. Alles wichtige darf nur über die Konsole laufen. Damit ist man schon mal den ganz großen Teil aller Exploits los. Viele Serverbesitzer sind aber sehr unvorsichtig was sowas angeht und haben dann leider Pech gehabt.

 

[JTK222]

Ja genau, Lücken entstehen, weil Leute unvorsichtig sind. Kein Spieler sollte zum Beispiel die Rechte haben um Op zu setzen. Alles wichtige darf nur über die Konsole laufen. Damit ist man schon mal den ganz großen Teil aller Exploits los. Viele Serverbesitzer sind aber sehr unvorsichtig was sowas angeht und haben dann leider Pech gehabt.

Oder noch besser die Rechte von OP's einfach auf 0 setzen dann kann man die "Angreifer" immer schön trollen xD

 

[Mario52]

http://www.spigotmc.org/resources/bookexploitfix.5897/

Ich habe es aber nicht ausprobiert.

 

[Payno4]

http://www.spigotmc.org/resources/bookexploitfix.5897/

Ich habe es aber nicht ausprobiert.

Hört sich gut an , aber ob es auch wirklich was bringt :O