Gibt es ein Plugin gegen den OP Hack für den man Buch&Feder braucht?

Dieses Thema im Forum "Server Plugins" wurde erstellt von 2801MC, 25. April 2015.

  1. 2801MC
    Offline

    2801MC

    Registriert seit:
    15. August 2013
    Beiträge:
    77
    Hallo Com,
    Wir hatten gestern (oder irgendwann sehr früh heute) einen Hacker bei uns.
    Einer unserer Admins gab ihm ein Buch&Feder, wodurch er OP bekam. Ich habe den Server sofort per Befehl gestoppt, den Hacker aus der OP-List in die Banlist verschoben und ein Backup gespeichert.

    Gibt es ein Plugin, dass gegen diesen Hack etwas macht?
     
    #1
  2. Silver_GX
    Offline

    Silver_GX

    Registriert seit:
    2. Juni 2014
    Beiträge:
    64
    Minecraft:
    Silver_GX
    ich glaube dafür ist die 1.8.4 gemacht worden...musst halt nur eben warten bis spigot und so nachziehen...

    1.Sollten deine Admins kein OP haben und wenn dann nicht dauerhaft
    2.Wenn ihr von solchen hacks wisst einfach keine Buch&feder von usern annehmen
    3.Ingame sollten Admin ränge nicht den ' * 'haben also alle wichtigen permission ordentlich einstellen (pex,OP usw quasi entziehen sowas kann man über die Console oder in der config machen)
     
    #2
    SilberRegen gefällt das.
  3. Malte
    Online

    Malte Moderator Redakteur

    Registriert seit:
    17. März 2012
    Beiträge:
    474
    Ort:
    Schwammbaumwald
    Minecraft:
    Malte662
    Auch wenn es hiermit nur begrenzt zutun hat: mit der 1.8.4 wurde dieser Bug nicht gefixt, sondern lediglich ein anderer Bug welcher es ermöglichte einen Minecraft Server, ohne viele Daten übertragen zu müssen, zum Abstürzen zu bringen.
     
    #3
  4. [Dev] iTzSasukeHDxLP
    Online

    [Dev] iTzSasukeHDxLP Ehem. Teammitglied

    Registriert seit:
    5. Januar 2014
    Beiträge:
    938
    Einfach 'bukkit.command.op.give' Permission auf false setzen und done
     
    #4
    jensIO gefällt das.
  5. 2801MC
    Offline

    2801MC

    Registriert seit:
    15. August 2013
    Beiträge:
    77
    Ok, danke! :)
    Für wen muss ich die Permission auf False setzen?
    Für alle?
     
    #5
  6. Erebos_DEV
    Offline

    Erebos_DEV

    Registriert seit:
    22. April 2015
    Beiträge:
    1
    Für deien Admins, damit dies nicht passieren kann ! Dir selber kannst du es auch auf false setzen so dass du so etwas nur über die Console machst, wenn überhaupt :)
     
    #6
  7. SilberRegen
    Online

    SilberRegen

    Registriert seit:
    23. März 2012
    Beiträge:
    579
    Minecraft:
    SilberRegen
    Im Idealfall allen Personen inklusive dir selber.
    Rechte die Ingame keiner hat können auch nicht ausgenutzt werden und da du selber Zugriff auf die Dateien und die Konsole hast, sollte es dich nicht behindern, wenn du dir selber auch die entsprechenden Rechte entziehst.

    Zusammengefasst wären das:
    • /op verbieten (geht z.B. über WorldGuard, die command.yml oder der von @Shinzune genannten Perm)
    • niemals * als Permission vergeben
    • Permissions, die Usern Rechte hinzufügen können nicht vergeben (z.B. die für /pex user <user> add ... oder /manuadd ...), dafür gibt es die Konsole
    Solltest du vorher irgendwo * Permission vergeben haben, wirst du deine Plugins noch mal durchgehen und Einzelpermissions vergeben müssen, die eventuell fehlen.
    Bei der Gelegenheit bietet es sich auch an zu überprüfen ob deine Gruppen/Spieler andere Perms haben, die eigentlich nie gebraucht werden und somit rausfliegen können :)
     
    #7
    jensIO gefällt das.
  8. Payno4
    Offline

    Payno4

    Registriert seit:
    12. Februar 2015
    Beiträge:
    117
    Ich hatte so einen Typen auch erst auf dem Server , er hat gesagt er würde sich gerne Bewerben und einen Text dazu schreiben , mein Team und ich haben uns schon vorher gedacht , dass das ein Hacker/Griefer sein muss und da wir den Hack schon kannten , wurde uns schnell klar , das man das Buch nicht öffnen sollte . xD Soweit ich weis , ist der Titel des Buches immer " Server " und es muss ein Link im Buch drinstehen , daher würde ich raten , nie ein Buch mit dem Titel Server öffnen , besonders nicht als Owner , da ich glaub , dass der Owner oder einer mit OP das Buch öffnen muss damit es funktioniert . :)
     
    #8
  9. Inkemann
    Offline

    Inkemann

    Registriert seit:
    3. Mai 2015
    Beiträge:
    341
    Ort:
    Aachen
    Minecraft:
    Inkemann
    Das Buch muss geöffnet und dann eine Verlinkung darin angeklickt werden. Gibt aber noch deutlich bessere "Hacks" (Exploits), wenn die richtigen Plugins installiert sind ^^
     
    #9
    Payno4 gefällt das.
  10. Vinnie
    Offline

    Vinnie

    Registriert seit:
    28. Juni 2014
    Beiträge:
    264
    Minecraft:
    Vinnie
    Diese Typen gehen immer öfters rum. Wir selber hatten jetzt mindestens 3 Leute da, die hartnäckig daran festgehalten haben, uns ihre Bewerbung über ein Buch zu übergeben.
    Rein aus organisatorischen Gründen lehne ich so was ab, denn dafür gibt es ja unser Forum. Und was es mit diesen Büchern auf sich hat, sollte nun klar sein.

    Dies sollte man zu den oberen Punkten auch ergänzen: Bewerbungen sollte man über ein Forum oder ähnlichem organisieren, ist zum einem ordentlicher, seriöser und schreckt solche "Hacker" von vornherein ab. :)
     
    #10
    Payno4 gefällt das.
  11. TheG4mingMax
    Offline

    TheG4mingMax

    Registriert seit:
    25. April 2015
    Beiträge:
    1
    Das Problem ist das es wirklich ein Hacked client ist. Und zwar ist er von Dezztroyz. Dieser Hacked client kostet 10€ und durch diesen Hack kann man mit Glück und durch Dummheit des Admin's oder so, zu den OP Rechten kommen, um den Server dann entgültig zu griefen.
     
    #11
  12. SilberRegen
    Online

    SilberRegen

    Registriert seit:
    23. März 2012
    Beiträge:
    579
    Minecraft:
    SilberRegen
    Das Problem ist nicht der "Hackclient", sondern die schlechte Absicherung vieler Server aus Faulheit oder Unwissen.

    Ab und an mag es Sicherheitslücken geben, auf die man als Administrator keinen Einfluss hat (siehe Update auf 1.8.4), aber alles andere ist vermeidbar.
    Ich könnte auf meinem eigenen Server so viele Bücherlinks anklicken wie ich will, Rechte bekommt dadurch keiner, weil ich die Rechte dazu gar nicht hab im Spiel. Spiel verdorben für den Angreifer.
     
    #12
    Inkemann gefällt das.
  13. Inkemann
    Offline

    Inkemann

    Registriert seit:
    3. Mai 2015
    Beiträge:
    341
    Ort:
    Aachen
    Minecraft:
    Inkemann
    Ja genau, Lücken entstehen, weil Leute unvorsichtig sind. Kein Spieler sollte zum Beispiel die Rechte haben um Op zu setzen. Alles wichtige darf nur über die Konsole laufen. Damit ist man schon mal den ganz großen Teil aller Exploits los. Viele Serverbesitzer sind aber sehr unvorsichtig was sowas angeht und haben dann leider Pech gehabt.
     
    #13
  14. JTK222
    Offline

    JTK222

    Registriert seit:
    5. September 2013
    Beiträge:
    665
    Ort:
    Planet Erde
    Minecraft:
    JTK222
    Oder noch besser die Rechte von OP's einfach auf 0 setzen dann kann man die "Angreifer" immer schön trollen xD
     
    #14
  15. Mario52
    Offline

    Mario52

    Registriert seit:
    19. August 2013
    Beiträge:
    511
    Minecraft:
    Mario_52
    #15
  16. Payno4
    Offline

    Payno4

    Registriert seit:
    12. Februar 2015
    Beiträge:
    117
    #16