• Es freut uns dass du in unser Minecraft Forum gefunden hast. Hier kannst du mit über 130.000 Minecraft Fans über Minecraft diskutieren, Fragen stellen und anderen helfen. In diesem Minecraft Forum kannst du auch nach Teammitgliedern, Administratoren, Moderatoren , Supporter oder Sponsoren suchen. Gerne kannst du im Offtopic Bereich unseres Minecraft Forums auch über nicht Minecraft spezifische Themen reden. Wir hoffen dir gefällt es in unserem Minecraft Forum!

Information News Plugin Backdoors, jetzt auch As a Service

Status
Für weitere Antworten geschlossen.
Minecraft Version
Java
1722318984732.png


Hallöchen Freunde der sicheren Minecraftserver,

wir wurden von @TheMeinerLP auf eine neue Minecraft Backdoor hingewiesen. Diese unterscheidet sich prinzipiell nicht von den anderen Backdoors. Es wird Schadcode in installierte .jar Dateien eingefügt, die dann beim Laden des Servers ausgeführt werden. Das Plugin existiert also nicht als eigenständige Datei, sondern wird in andere Dateien eingefügt. Das macht es natürlich schwerer zu erkennen.

Das ist eine sehr gute Möglichkeit um nochmal generell auf das Risiko von Plugins aus dubiosen Quellen hinzuweisen insbesondere, da es diesen Angriff nun auch »As a Service« gibt und daher auch unerfahrene Personen einen solchen Angriff durchführen können.

Insgesamt besteht der Angriff aus folgenden Komponenten:
  • Ein Discordserver, auf welchem man beliebige Plugins mit einer Backdoor versehen kann
  • Ein Keypair, welches vorher erstellt wird und dazu dient, dass sich nur derjenige, der das Keypair erstellt hat, Zugriff auf die Backdoor verschaffen kann
  • Ein Client-Mod, der das Keypair kennt und damit Zugriff auf die Backdoor hat

Das erregt natürlich zunächst den Anschein von einem harmlosen Spaß, da ja nicht jeder die Backdoor nutzen kann. Stimmt natürlich nicht, weil die Betreiber ebenfalls Zugriff auf die Backdoor UND auf die Client-Mod haben. Insofern infiziert ihr euch auch selbst, wenn ihr die Client-Mod installiert. Da das Projekt ohnehin über Discord beworben wird, liegt hier auch die Vermutung nahe, dass die Betreiber gezielt Discord Accounttokens sammeln, um dann euren Account zu übernehmen und selbst infizierte Plugins zu verbreiten. Das heißt, wenn ihr die Client-Mod installiert, um auf den Server zuzugreifen, seid ihr genau so kompromittiert wie der Server selbst. Bisschen ironisch und tatsächlich funny.

Generelle Hinweise helfen

Da das aber im Prinzip nichts Neues ist, gelten auch dieselben Gegenmaßnahmen, wie bisher:
  • Plugins nur aus offiziellen Quellen herunterladen
  • Bei Infektion mindestens ALLE Plugins und ALLE .jar Dateien neu herunterladen
  • Grundsätzlich wie eigentlich immer: Server komplett löschen und neu installieren
  • Plugins laufen mit den Berechtigungen des Servernutzers und können beliebige Dateien modifizieren

Es besteht aber auch immer das Risiko, dass das Plugin sich auch direkt in Spieldaten einnistet oder auf dem System direkt. Beliebige Orte sind da natürlich .basrc und ähnliche Dateien, die beim Login automatisch geladen werden. Daher auch der generelle Hinweis, alles zu löschen. Wenn ihr das Wissen nicht habt, welches notwendig ist, um den Schadcode zu finden, dann ist das zugegebenermaßen die einzige Möglichkeit, sicher zu sein.

Hier kommt die neue Komponente hinzu und das ist die Möglichkeit, dass das Infizieren von Plugins jedem möglich ist. Die Aufmachung des Projekts und die vermeintliche Sicherheit mit einem Keypair suggerieren dabei, dass nur der Angreifer Zugriff auf die Backdoor hat. Insofern motiviert das sehr, das nur als Spaß zu sehen und nicht als ernst zu nehmende Bedrohung. Insofern müsst ihr davon ausgehen, dass selbst aufgeklärte Teammitglieder versuchen, euch ein infiziertes Plugin unterzujubeln.

Was grundsätzlich die Sicherheit und insbesondere solche simplen Angreifer aufhält:
Alle Pfade, aus denen Code geladen wird, sollten vom Serverprozess nicht beschreibbar sein. Das funktioniert natürlich am besten, wenn man den Server in einem Container mit Docker oder einer anderen Containerlösung ausführt. Bisher finden solche Angriffe nur auf die .jar Dateien statt. Wenn man ein infiziertes Plugin in den Container kopiert, dann ändert das nichts, aber es kann sich von dort zumindest nicht weiterverbreiten und ist dann auch schnell wieder gelöscht.

Weitere Lösungen
Idealerweise kopiert ihr eure Plugins nicht einfach mit FTP in den Plugin-Ordner, sondern versioniert sie z.B. mit git oder über eine andere Plattform. Leider sind die Möglichkeiten da sehr begrenzt.

An dieser Stelle sei auch nochmal auf den Blog von OneLiteFeather verwiesen, wo unter anderem @TheMeinerLP sich die technischen Aspekte genauer ansehen: https://blog.onelitefeather.net/de/alles-was-manueber-ethanol-wissen-sollte/

Wie handhabt ihr die Installation von Plugins und deren Updates auf eurem Server? Nutzt ihr Images und Container für euren Server? Habt ihr Backups?
 
Zuletzt bearbeitet:

Itzz_Marvin

Minecrafter
Registriert
5 Juni 2017
Beiträge
4
Diamanten
204
Minecraft
Itzz_Marvin
Vielen Dank für den Hinweis an alle.

Ich war mit meinem Server ebenfalls schon betroffen und habe auch durch theminerlp und OneLiteFather gute Hilfe bekommen. Es war viel Arbeit diese Malware wieder zu entfernen und ich habe bis heute noch nicht wirklich herausgefunden, welches Plugin "Infiziert" war.

Bei mir lief es übrigens wie folgt ab:

Ich war an dem Tag arbeiten und nur mein Supporter war Online. Dieser wurde recht schnell gebannt mit einer Meldung "Du bist von diesem Server gebannt. Grund: ***". Als ich dann Hilfe bei OneLiteFather suchte, wusste sie sofort bescheid worum es ging. Was ich in diesem Moment noch nicht ahnte: Alle Plugins, Welten und Co wurden bereits gelöscht.
Gott sei dank erstellt unser Panel einmal um 2 Uhr nachts automatisch ein Backup, weshalb der Verlust von um 2 Uhr nachts bis c.a. 11 Uhr morgens nicht wirklich groß war. Viel größer allerdings war die Arbeit danach, trotz Backup denn die Malware befindet sich ja noch irgendwo. Die Person hat sich übrigens mit meinem Account eingeloggt und hatte somit sofort alle Rechte. Als ich mich dann selber etwas schlauer über Ethanol gemacht habe, bin ich recht schnell auf deren Discord aufmerksam geworden. Zu meiner Überraschung wurde ich dort noch freundlich begrüßt (es war übrigens ein zweiter Discord Account um kein Anschein zu wecken). Ich habe mir dort dann deren Ankündigungskanal angesehen und war doch recht überrascht. Mit dieser Malware kann man gefühlt alles machen. Das schlimme an der ganzen Sache ist allerdings, dass es fast tägliche Updates gibt/gab und der Discord mit c.a. 300 Mitgliedern nicht gerade klein ist. Warum auch immer es so viele Personen gibt, die anderen Servern schaden wollen.

Wie im Beitrag schon geschrieben, wäre also die beste Möglichkeit alles einmal zu löschen und neu zu installieren, was bei c.a. 50 Plugins dann doch etwas Zeit in Anspruch nimmt, Zeit die man für sowas Opfern muss... Wir haben uns allerdings diese Mühe gemacht und haben da wo möglich die Plugins mit dem SourceCode selber "gebaut" so sind wir auf der sicheren Seite. Auch die Firewall wurde nochmal angepasst sodass nur die nötigsten Ports nach außen offen sind.


Ich wünsche niemanden sowas und hoffe da irgendwie auf eine Lösung.
Danke fürs lesen und einen schönen Sonntag noch
 
Zuletzt bearbeitet von einem Moderator:

Seelenretterin

Redstoneengineer
Registriert
27 April 2021
Beiträge
33
Diamanten
233
Minecraft
Seelenretterin
Vielen Dank für den Hinweis an alle.

Ich war mit meinem Server ebenfalls schon betroffen und habe auch durch theminerlp und OneLiteFather gute Hilfe bekommen. Es war viel Arbeit diese Malware wieder zu entfernen und ich habe bis heute noch nicht wirklich herausgefunden, welches Plugin "Infiziert" war.

Bei mir lief es übrigens wie folgt ab:

Ich war an dem Tag arbeiten und nur mein Supporter war Online. Dieser wurde recht schnell gebannt mit einer Meldung "Du bist von diesem Server gebannt. Grund: https://youtube.com/mori0". Als ich dann Hilfe bei OneLiteFather suchte, wusste sie sofort bescheid worum es ging. Was ich in diesem Moment noch nicht ahnte: Alle Plugins, Welten und Co wurden bereits gelöscht.
Gott sei dank erstellt unser Panel einmal um 2 Uhr nachts automatisch ein Backup, weshalb der Verlust von um 2 Uhr nachts bis c.a. 11 Uhr morgens nicht wirklich groß war. Viel größer allerdings war die Arbeit danach, trotz Backup denn die Malware befindet sich ja noch irgendwo. Die Person hat sich übrigens mit meinem Account eingeloggt und hatte somit sofort alle Rechte. Als ich mich dann selber etwas schlauer über Ethanol gemacht habe, bin ich recht schnell auf deren Discord aufmerksam geworden. Zu meiner Überraschung wurde ich dort noch freundlich begrüßt (es war übrigens ein zweiter Discord Account um kein Anschein zu wecken). Ich habe mir dort dann deren Ankündigungskanal angesehen und war doch recht überrascht. Mit dieser Malware kann man gefühlt alles machen. Das schlimme an der ganzen Sache ist allerdings, dass es fast tägliche Updates gibt/gab und der Discord mit c.a. 300 Mitgliedern nicht gerade klein ist. Warum auch immer es so viele Personen gibt, die anderen Servern schaden wollen.

Wie im Beitrag schon geschrieben, wäre also die beste Möglichkeit alles einmal zu löschen und neu zu installieren, was bei c.a. 50 Plugins dann doch etwas Zeit in Anspruch nimmt, Zeit die man für sowas Opfern muss... Wir haben uns allerdings diese Mühe gemacht und haben da wo möglich die Plugins mit dem SourceCode selber "gebaut" so sind wir auf der sicheren Seite. Auch die Firewall wurde nochmal angepasst sodass nur die nötigsten Ports nach außen offen sind.


Ich wünsche niemanden sowas und hoffe da irgendwie auf eine Lösung.
Danke fürs lesen und einen schönen Sonntag noch
Freut mich, dass wir dir helfen konnten Itzz_Marvin, das klingt auf jeden Fall nach viel Arbeit, die sich aber langfristig lohnt. Solltest du Fragen haben, schreibe uns gerne auf unserem Discord und oder schicke uns ein Ticket im Support :)

Leider gibt es viele Menschen, besonders in der deutschen Minecraft Szene, die es genießen, ihren Neid oder Zerstörungswahn an anderen, unschuldigen Menschen und Servern auszuüben. Was da täglich gemacht wird, sobald es absichtlichen Schaden gibt bei IT-Infrastruktur, fällt unter den Hackerparagraph und kann eine Freiheitsstrafe bedeuten. Das sollten Betroffene und Täter wissen.

Weiterhin, lasst euch alle nicht social engineeren ^^
LG OneLiteFeather
 

Chrisliebär❤️

nur echt mit ❤️
Moderator
Registriert
19 Mai 2014
Beiträge
1.675
Diamanten
778
Ich betreibe zur Zeit selbst keinen Minecraftserver, aber wenn ich das heute machen müsste, würde ich die Plugins alle eiskalt in ein git Repo werfen und den Server als Container Image bauen. Man sollte einige Pfade über CLI-Argumente anpassen können, so dass man Server und Plugins vom Savegame sauber trennen kann. Dann sind viele Probleme zumindest mal unter Kontrolle. Ansonsten kann kann ich tägliche Backups sehr empfehlen, was bei sauberer Trennung über Container auch einfach möglich ist.

Und was ich zuletzt für nen privaten Modserver mache: zusätzlich rotierende stündliche Backups mit diesem fancy Container hier: https://github.com/itzg/docker-mc-backup

Das macht es quasi unmöglich, dass irgendwer die Backups beschädigen kann, weil der Backupdienst selbst keine Angriffsfläche hat. Minecraft lässt sich leider im laufenden Betrieb nicht ausreichend sichern, da man nicht vollständig verhindern kann, dass der Server keine Dateien modifiziert, während das Backup läuft. Wenn man das aber stündlich macht, kann man auch einfach würfeln. Mindestens einmal pro Tag würde ich den Server tatsächlich für Backups beenden und dann hat man eine sehr effektive Backupstrategie gegen so ziemlich alles.

Shameless plug an der Stelle für meinen eigenen Docker Backup-Daemon: https://github.com/chrisliebaer/salvage

Man muss aber auch sagen, das ist leider ein Luxus, den sich die meisten Server mangels Know-How nicht leisten können.
 

Chrisliebär❤️

nur echt mit ❤️
Moderator
Registriert
19 Mai 2014
Beiträge
1.675
Diamanten
778
Da der Thread leider bischen vollgespamt wurde, ist hier jetzt zu. Eine kleine Ergänzung vielleicht noch: Solange ihr den Buildprozess eines Plugins nicht komplett analysiert, hilft es natürlich nichts, wenn ein Plugin Open Source ist. Ich kann problemlos ein infiziertes Plugin auf GitHub pushen und euch gleichzeitig den Code geben, der gar keine Backdoor enthält. Das gilt grundsätzlich bei allen Plattformen, da aktuell keine von den relevanten Diensten verifizierte Builds supporten.
 
Status
Für weitere Antworten geschlossen.
Oben