Hallöchen Freunde der sicheren Minecraftserver,
wir wurden von @TheMeinerLP auf eine neue Minecraft Backdoor hingewiesen. Diese unterscheidet sich prinzipiell nicht von den anderen Backdoors. Es wird Schadcode in installierte
.jar
Dateien eingefügt, die dann beim Laden des Servers ausgeführt werden. Das Plugin existiert also nicht als eigenständige Datei, sondern wird in andere Dateien eingefügt. Das macht es natürlich schwerer zu erkennen.Das ist eine sehr gute Möglichkeit um nochmal generell auf das Risiko von Plugins aus dubiosen Quellen hinzuweisen insbesondere, da es diesen Angriff nun auch »As a Service« gibt und daher auch unerfahrene Personen einen solchen Angriff durchführen können.
Insgesamt besteht der Angriff aus folgenden Komponenten:
- Ein Discordserver, auf welchem man beliebige Plugins mit einer Backdoor versehen kann
- Ein Keypair, welches vorher erstellt wird und dazu dient, dass sich nur derjenige, der das Keypair erstellt hat, Zugriff auf die Backdoor verschaffen kann
- Ein Client-Mod, der das Keypair kennt und damit Zugriff auf die Backdoor hat
Das erregt natürlich zunächst den Anschein von einem harmlosen Spaß, da ja nicht jeder die Backdoor nutzen kann. Stimmt natürlich nicht, weil die Betreiber ebenfalls Zugriff auf die Backdoor UND auf die Client-Mod haben. Insofern infiziert ihr euch auch selbst, wenn ihr die Client-Mod installiert. Da das Projekt ohnehin über Discord beworben wird, liegt hier auch die Vermutung nahe, dass die Betreiber gezielt Discord Accounttokens sammeln, um dann euren Account zu übernehmen und selbst infizierte Plugins zu verbreiten. Das heißt, wenn ihr die Client-Mod installiert, um auf den Server zuzugreifen, seid ihr genau so kompromittiert wie der Server selbst. Bisschen ironisch und tatsächlich funny.
Generelle Hinweise helfen
Da das aber im Prinzip nichts Neues ist, gelten auch dieselben Gegenmaßnahmen, wie bisher:
- Plugins nur aus offiziellen Quellen herunterladen
- Bei Infektion mindestens ALLE Plugins und ALLE .jar Dateien neu herunterladen
- Grundsätzlich wie eigentlich immer: Server komplett löschen und neu installieren
- Plugins laufen mit den Berechtigungen des Servernutzers und können beliebige Dateien modifizieren
Es besteht aber auch immer das Risiko, dass das Plugin sich auch direkt in Spieldaten einnistet oder auf dem System direkt. Beliebige Orte sind da natürlich
.basrc
und ähnliche Dateien, die beim Login automatisch geladen werden. Daher auch der generelle Hinweis, alles zu löschen. Wenn ihr das Wissen nicht habt, welches notwendig ist, um den Schadcode zu finden, dann ist das zugegebenermaßen die einzige Möglichkeit, sicher zu sein.Hier kommt die neue Komponente hinzu und das ist die Möglichkeit, dass das Infizieren von Plugins jedem möglich ist. Die Aufmachung des Projekts und die vermeintliche Sicherheit mit einem Keypair suggerieren dabei, dass nur der Angreifer Zugriff auf die Backdoor hat. Insofern motiviert das sehr, das nur als Spaß zu sehen und nicht als ernst zu nehmende Bedrohung. Insofern müsst ihr davon ausgehen, dass selbst aufgeklärte Teammitglieder versuchen, euch ein infiziertes Plugin unterzujubeln.
Was grundsätzlich die Sicherheit und insbesondere solche simplen Angreifer aufhält:
Alle Pfade, aus denen Code geladen wird, sollten vom Serverprozess nicht beschreibbar sein. Das funktioniert natürlich am besten, wenn man den Server in einem Container mit Docker oder einer anderen Containerlösung ausführt. Bisher finden solche Angriffe nur auf die
.jar
Dateien statt. Wenn man ein infiziertes Plugin in den Container kopiert, dann ändert das nichts, aber es kann sich von dort zumindest nicht weiterverbreiten und ist dann auch schnell wieder gelöscht.Weitere Lösungen
Idealerweise kopiert ihr eure Plugins nicht einfach mit FTP in den Plugin-Ordner, sondern versioniert sie z.B. mit git oder über eine andere Plattform. Leider sind die Möglichkeiten da sehr begrenzt.
An dieser Stelle sei auch nochmal auf den Blog von OneLiteFeather verwiesen, wo unter anderem @TheMeinerLP sich die technischen Aspekte genauer ansehen: https://blog.onelitefeather.net/de/alles-was-manueber-ethanol-wissen-sollte/
Wie handhabt ihr die Installation von Plugins und deren Updates auf eurem Server? Nutzt ihr Images und Container für euren Server? Habt ihr Backups?
Zuletzt bearbeitet: