Rechte-Betrug

Dieses Thema im Forum "Technischer Support" wurde erstellt von Funk_it, 22. März 2015.

  1. Funk_it
    Offline

    Funk_it

    Registriert seit:
    13. Januar 2015
    Beiträge:
    6
    Heute habe ich einen ganz raffinierten Versuch eines Spielers erlebt.
    Er hat mir (Admin) ein Buch überreicht und dort drin war ein Youtube-Link. Als ich auf den Link geklickt habe, führte ich automatisch den command durch, der dafür sorgt ihm sämtliche Rechte zu übertragen.

    Wie ist das überhaupt möglich?! Ich habe sowas noch nie erlebt!
    Ich habe danach gegoogled, habe dort aber nur Tutorials gefunden wie man das ganze mit Commandblocks macht, die der Spieler ja nun nicht zur Verfügung hatte.

    Ich bitte um Erklärung.

    LG Funk_it
     
    #1
  2. MrsGoms
    Offline

    MrsGoms

    Registriert seit:
    13. März 2015
    Beiträge:
    8
    Ohaaaa, krasse Geschichte!
    Eine Erklärung dafür habe ich nicht parat, aber man sollte das vielleicht mal beobachten und
    genauer untersuchen.
    Ist sicherlich für andere Server-Inhaber hilfreich.

    Welche Version benutzt du und welche Plugins laufen auf deinem Server?
    Und welcher Command wurde genau ausgeführt?

    Viele Grüße
    MrsGoms
     
    #2
  3. combo
    Offline

    combo

    Registriert seit:
    16. Juli 2012
    Beiträge:
    160
    Minecraft:
    combo5
    Es gibt ein Event das heißt glaube ich HoverClick Event oder so damit ist das möglich aber dafür sollte man eigentlich eine Permission benötigen das hat mit dem neuen JSON Format zutun.

    PS: Falls meine angaben nicht 100% Stimmen bitte Korrigieren.
     
    #3
  4. GermanHubertus
    Offline

    GermanHubertus

    Registriert seit:
    29. November 2014
    Beiträge:
    14
    @Funk_it Hatte er denn eine möglichkeit, einen /give Befehl auszuführen? In den dazugehörenden Metadaten kann man sowas einstellen
     
    #4
  5. Funk_it
    Offline

    Funk_it

    Registriert seit:
    13. Januar 2015
    Beiträge:
    6
    Der Befehl, der durch das Buch ausgeführt wurde war "manuaddp [name des betrügers] *" (aber das geht ja denke ich auch prinizipiell mit allen Befehlen, er hatte ja auch ausprobiert welches Perm-system wir nutzen)

    Er hat es in der Creative-Welt geschrieben.
    Besondere Befehle hat er nicht eingegeben, nur ausprobiert welches Perm-System wir nutzen, ob Bungeecord etc.
     
    #5
  6. SilberRegen
    Online

    SilberRegen

    Registriert seit:
    23. März 2012
    Beiträge:
    579
    Minecraft:
    SilberRegen
    Interessant, der Trick ist mir neu, aber hier werfen sich einige Frage auf, unter anderem, wie der Spieler an dieses Buch gekommen ist und welche Befehle hier genau ausgeführt worden sind.
    EDIT: Okay, wie er dran gekommen ist scheint sich geklärt zu haben, hier wurde ausgenutzt, dass viele Administratoren sich fatalerweise nicht in den Perms einschränken. Wie man sowas effektiv nutzlos macht siehe unten:

    Vom Prinzip her ist es ganz einfach abzusichern.
    Wenn der Besitzer die Rechtevergabe über die Konsole regelt und sich und seinen Administratoren nicht einfach Sternchenpermissions gibt, funktioniert der Trick nicht.
    Geziehlt /op und Befehle wie /pex user add <permission> oder /manuaddp nicht für den Ingamegebrauch freigeben.
    Weniger Bequemlichkeit an den Tag legen bei den Permissions und sowas ist keine Gefahr.
     
    #6
  7. maxi1498
    Offline

    maxi1498

    Registriert seit:
    19. Februar 2015
    Beiträge:
    145
    Ort:
    Bayern
    Minecraft:
    maxi1498
    @SilberRegen Guter Ansatz einfach alles für den InGame Berreich zu sperren! Das Problem ist allerdings so das ,wenn du, es gibt die Möglichkeit, einen Befehl in einem Buch ausführst der meistens vom Server ausgeführt wird mit dem richtigen Argument! Also ist das Sperren nutzlos geweorden!

    Was allerdings die Frage offen lässt warum konnte er überhaupt diese Formatierungen nutzen! Das geht eigentlich nur mit OP!

    Der YouTube Link dient nur der Ablenkung! Denn selbst wenn das Video eine verstecke Datei inne hat und diese ausgeführt wird würde dich dein PC zuerst fragen ob er das ausführen soll!

    Mein Rat nimm keine Links an die in Bücher geschreiben sind er soll sie dir per PN oder sonst was schicken aber niemals in einem Buch auf Links klicken!

    PS: Dazu muss ein Griefer etc sich schon sehr gut auskennen! Den dieser Befehl Erfordert das Wissen über NBT Tags und welche Plugins du installiert hast ! Püfe mal ib ein normaler Spieler /? machen kann und ihm etwas angezeigt wird!
     
    #7
  8. meytro
    Offline

    meytro

    Registriert seit:
    22. Oktober 2012
    Beiträge:
    92
    Irgendwelche Quellen für das was du hier verzapfst?
     
    #8
    AnonymusChaotic gefällt das.
  9. maxi1498
    Offline

    maxi1498

    Registriert seit:
    19. Februar 2015
    Beiträge:
    145
    Ort:
    Bayern
    Minecraft:
    maxi1498
    QUELLE:

    Lustige ist dazu brauchst du eigentlich schon Rechte!
    Mindestens OP!
     
    #9
  10. felino
    Offline

    felino

    Registriert seit:
    12. Februar 2015
    Beiträge:
    4
    Man kann ja Mit Gm Keine command blöcke cheaten man braucht den befehl give [Spieler] 137 1
     
    #10
  11. maxi1498
    Offline

    maxi1498

    Registriert seit:
    19. Februar 2015
    Beiträge:
    145
    Ort:
    Bayern
    Minecraft:
    maxi1498
    Deswegen hab ich ja geschrieben irgendwas ist kaputt mit den Rechten oder falsch gesetzt!
     
    #11
  12. SilberRegen
    Online

    SilberRegen

    Registriert seit:
    23. März 2012
    Beiträge:
    579
    Minecraft:
    SilberRegen
    Wenn dem so wäre, bräuchte der Spieler keinen Administrator um den Link anzuklicken.

    Hier wird ganz klar ausgenutzt, dass die meisten Serverbesitzer keine Ahnung von Absicherung haben oder sich keine Gedanken dazu machen. Auch frühere "Hacks" wie der Sessionstealtrick beruhten darauf, dass der Angreifer davon ausging, dass die Administratoren OP und/oder *-Permission haben.

    Und ich glaube du hast mich nicht komplett verstanden, mit dem was ich sagen wollte.
    Es geht nicht darum Befehle zu sperren, sondern die (eigenen) Rechte Ingame so einzuschränken, dass man nur die hat, die man tatsächlich im alltäglichen Betrieb braucht. Rechtevergabe gehört da nicht zu.

    Insbesondere muss man dafür sorgen, dass niemand (auch man selber nicht!) auf dem Server OP-Rechte hat, die machen einem die beste Permissionconfig kaputt. Wer viel mit Commandblöcken arbeitet muss hier natürlich schauen, wie er das geschickt löst, aber das wird nur wenige Spieler betreffen.
    Für den Serveralltag sollte die ops.json leer sein.

    Um es mal mit dem Betrieb eines V- oder Rootservers zu vergleichen:
    Sich Ingame *-Perm und OP zu geben ist genauso bescheuert wie den MC-Server oder einen anderen über den Root-nutzer zu starten, statt einen eingeschränkten Nutzer dafür zu erstellen und zu benutzen. Es wartet geradezu nur auf die nächste Sicherheitslücke um ausgenutzt zu werden.
    Wer noch nie gehört hat, warum man mit root keine Programme/Gameserver auf einem Server laufen lässt, holt das bitte ganz schnell nach.
     
    #12
  13. AnonymusChaotic
    Offline

    AnonymusChaotic

    Registriert seit:
    22. November 2013
    Beiträge:
    762
    Ort:
    Wien, Österreich
    Minecraft:
    AnonymusChaotic
    Gebe dir insofern recht, aber wer kein Linux direkt nutzt braucht sich darüber nicht unbedingt informieren. Kenntnisse in Windows-Sicherheit würde ich mehr empfehlen :)

    Wer viel mit commandblocks arbeitet ist m.M. nach besser mit täglichen Backups beraten :)
     
    #13
    SilberRegen gefällt das.
  14. SilberRegen
    Online

    SilberRegen

    Registriert seit:
    23. März 2012
    Beiträge:
    579
    Minecraft:
    SilberRegen
    Ging mir mehr um das Prinzip, als tatsächliche Kenntnisse, wobei Windowssicherheit natürlich ein wichtiges Thema ist.

    Tägliche Backups hatte ich jetzt als selbstverständlich im Hinterkopf, aber wo du es sagst, die müssen natürlich auch erstmal eingerichtet werden.

    Zusammenfassung: Sowohl bei der Rechteverteilung als auch der Absicherung durch Backups rumschludern, dann läuft das. ;)
     
    #14