1. Es freut uns dass du in unser Minecraft Forum gefunden hast. Hier kannst du mit über 130.000 Minecraft Fans über Minecraft diskutieren, Fragen stellen und anderen helfen. In diesem Minecraft Forum kannst du auch nach Teammitgliedern, Administratoren, Moderatoren , Supporter oder Sponsoren suchen. Gerne kannst du im Offtopic Bereich unseres Minecraft Forums auch über nicht Minecraft spezifische Themen reden. Wir hoffen dir gefällt es in unserem Minecraft Forum!

Rechte-Betrug

Dieses Thema im Forum "Technischer Support" wurde erstellt von Funk_it, 22. März 2015.


  1. Funk_it
    Offline

    Funk_it

    Registriert seit:
    13. Januar 2015
    Beiträge:
    6
    Geschlecht:
    männlich
    Heute habe ich einen ganz raffinierten Versuch eines Spielers erlebt.
    Er hat mir (Admin) ein Buch überreicht und dort drin war ein Youtube-Link. Als ich auf den Link geklickt habe, führte ich automatisch den command durch, der dafür sorgt ihm sämtliche Rechte zu übertragen.

    Wie ist das überhaupt möglich?! Ich habe sowas noch nie erlebt!
    Ich habe danach gegoogled, habe dort aber nur Tutorials gefunden wie man das ganze mit Commandblocks macht, die der Spieler ja nun nicht zur Verfügung hatte.

    Ich bitte um Erklärung.

    LG Funk_it
     
  2. Werbung
    Online

    Werbung

  3. MrsGoms
    Offline

    MrsGoms

    Registriert seit:
    13. März 2015
    Beiträge:
    7
    Geschlecht:
    weiblich
    Ohaaaa, krasse Geschichte!
    Eine Erklärung dafür habe ich nicht parat, aber man sollte das vielleicht mal beobachten und
    genauer untersuchen.
    Ist sicherlich für andere Server-Inhaber hilfreich.

    Welche Version benutzt du und welche Plugins laufen auf deinem Server?
    Und welcher Command wurde genau ausgeführt?

    Viele Grüße
    MrsGoms
     
  4. combo
    Offline

    combo

    Registriert seit:
    16. Juli 2012
    Beiträge:
    173
    Geschlecht:
    männlich
    Minecraft:
    combo5
    Es gibt ein Event das heißt glaube ich HoverClick Event oder so damit ist das möglich aber dafür sollte man eigentlich eine Permission benötigen das hat mit dem neuen JSON Format zutun.

    PS: Falls meine angaben nicht 100% Stimmen bitte Korrigieren.
     
  5. GermanHubertus
    Offline

    GermanHubertus

    Registriert seit:
    29. November 2014
    Beiträge:
    14
    Geschlecht:
    männlich
    @Funk_it Hatte er denn eine möglichkeit, einen /give Befehl auszuführen? In den dazugehörenden Metadaten kann man sowas einstellen
     
  6. Funk_it
    Offline

    Funk_it

    Registriert seit:
    13. Januar 2015
    Beiträge:
    6
    Geschlecht:
    männlich
    Der Befehl, der durch das Buch ausgeführt wurde war "manuaddp [name des betrügers] *" (aber das geht ja denke ich auch prinizipiell mit allen Befehlen, er hatte ja auch ausprobiert welches Perm-system wir nutzen)

    Er hat es in der Creative-Welt geschrieben.
    Besondere Befehle hat er nicht eingegeben, nur ausprobiert welches Perm-System wir nutzen, ob Bungeecord etc.
     
  7. SilberRegen
    Offline

    SilberRegen

    Registriert seit:
    23. März 2012
    Beiträge:
    760
    Minecraft:
    SilberRegen
    Interessant, der Trick ist mir neu, aber hier werfen sich einige Frage auf, unter anderem, wie der Spieler an dieses Buch gekommen ist und welche Befehle hier genau ausgeführt worden sind.
    EDIT: Okay, wie er dran gekommen ist scheint sich geklärt zu haben, hier wurde ausgenutzt, dass viele Administratoren sich fatalerweise nicht in den Perms einschränken. Wie man sowas effektiv nutzlos macht siehe unten:

    Vom Prinzip her ist es ganz einfach abzusichern.
    Wenn der Besitzer die Rechtevergabe über die Konsole regelt und sich und seinen Administratoren nicht einfach Sternchenpermissions gibt, funktioniert der Trick nicht.
    Geziehlt /op und Befehle wie /pex user add <permission> oder /manuaddp nicht für den Ingamegebrauch freigeben.
    Weniger Bequemlichkeit an den Tag legen bei den Permissions und sowas ist keine Gefahr.
     
    Zuletzt bearbeitet: 22. März 2015
    • Gefällt mir Gefällt mir x 3
  8. maxi1498
    Offline

    maxi1498

    Registriert seit:
    19. Februar 2015
    Beiträge:
    138
    Geschlecht:
    männlich
    Minecraft:
    maxi1498
    @SilberRegen Guter Ansatz einfach alles für den InGame Berreich zu sperren! Das Problem ist allerdings so das ,wenn du, es gibt die Möglichkeit, einen Befehl in einem Buch ausführst der meistens vom Server ausgeführt wird mit dem richtigen Argument! Also ist das Sperren nutzlos geweorden!

    Was allerdings die Frage offen lässt warum konnte er überhaupt diese Formatierungen nutzen! Das geht eigentlich nur mit OP!

    Der YouTube Link dient nur der Ablenkung! Denn selbst wenn das Video eine verstecke Datei inne hat und diese ausgeführt wird würde dich dein PC zuerst fragen ob er das ausführen soll!

    Mein Rat nimm keine Links an die in Bücher geschreiben sind er soll sie dir per PN oder sonst was schicken aber niemals in einem Buch auf Links klicken!

    PS: Dazu muss ein Griefer etc sich schon sehr gut auskennen! Den dieser Befehl Erfordert das Wissen über NBT Tags und welche Plugins du installiert hast ! Püfe mal ib ein normaler Spieler /? machen kann und ihm etwas angezeigt wird!
     
  9. meytro
    Offline

    meytro

    Registriert seit:
    22. Oktober 2012
    Beiträge:
    90
    Irgendwelche Quellen für das was du hier verzapfst?
     
    Zuletzt bearbeitet: 23. März 2015
    • Gefällt mir Gefällt mir x 1
  10. maxi1498
    Offline

    maxi1498

    Registriert seit:
    19. Februar 2015
    Beiträge:
    138
    Geschlecht:
    männlich
    Minecraft:
    maxi1498
    QUELLE:

    Lustige ist dazu brauchst du eigentlich schon Rechte!
    Mindestens OP!
     
  11. felino
    Offline

    felino

    Registriert seit:
    12. Februar 2015
    Beiträge:
    4
    Geschlecht:
    männlich
    Man kann ja Mit Gm Keine command blöcke cheaten man braucht den befehl give [Spieler] 137 1
     
  12. maxi1498
    Offline

    maxi1498

    Registriert seit:
    19. Februar 2015
    Beiträge:
    138
    Geschlecht:
    männlich
    Minecraft:
    maxi1498
    Deswegen hab ich ja geschrieben irgendwas ist kaputt mit den Rechten oder falsch gesetzt!
     
  13. SilberRegen
    Offline

    SilberRegen

    Registriert seit:
    23. März 2012
    Beiträge:
    760
    Minecraft:
    SilberRegen
    Wenn dem so wäre, bräuchte der Spieler keinen Administrator um den Link anzuklicken.

    Hier wird ganz klar ausgenutzt, dass die meisten Serverbesitzer keine Ahnung von Absicherung haben oder sich keine Gedanken dazu machen. Auch frühere "Hacks" wie der Sessionstealtrick beruhten darauf, dass der Angreifer davon ausging, dass die Administratoren OP und/oder *-Permission haben.

    Und ich glaube du hast mich nicht komplett verstanden, mit dem was ich sagen wollte.
    Es geht nicht darum Befehle zu sperren, sondern die (eigenen) Rechte Ingame so einzuschränken, dass man nur die hat, die man tatsächlich im alltäglichen Betrieb braucht. Rechtevergabe gehört da nicht zu.

    Insbesondere muss man dafür sorgen, dass niemand (auch man selber nicht!) auf dem Server OP-Rechte hat, die machen einem die beste Permissionconfig kaputt. Wer viel mit Commandblöcken arbeitet muss hier natürlich schauen, wie er das geschickt löst, aber das wird nur wenige Spieler betreffen.
    Für den Serveralltag sollte die ops.json leer sein.

    Um es mal mit dem Betrieb eines V- oder Rootservers zu vergleichen:
    Sich Ingame *-Perm und OP zu geben ist genauso bescheuert wie den MC-Server oder einen anderen über den Root-nutzer zu starten, statt einen eingeschränkten Nutzer dafür zu erstellen und zu benutzen. Es wartet geradezu nur auf die nächste Sicherheitslücke um ausgenutzt zu werden.
    Wer noch nie gehört hat, warum man mit root keine Programme/Gameserver auf einem Server laufen lässt, holt das bitte ganz schnell nach.
     
  14. AnonymusChaotic
    Offline

    AnonymusChaotic

    Registriert seit:
    22. November 2013
    Beiträge:
    762
    Geschlecht:
    männlich
    Minecraft:
    AnonymusChaotic
    Gebe dir insofern recht, aber wer kein Linux direkt nutzt braucht sich darüber nicht unbedingt informieren. Kenntnisse in Windows-Sicherheit würde ich mehr empfehlen :)

    Wer viel mit commandblocks arbeitet ist m.M. nach besser mit täglichen Backups beraten :)
     
    • Gefällt mir Gefällt mir x 1
  15. SilberRegen
    Offline

    SilberRegen

    Registriert seit:
    23. März 2012
    Beiträge:
    760
    Minecraft:
    SilberRegen
    Ging mir mehr um das Prinzip, als tatsächliche Kenntnisse, wobei Windowssicherheit natürlich ein wichtiges Thema ist.

    Tägliche Backups hatte ich jetzt als selbstverständlich im Hinterkopf, aber wo du es sagst, die müssen natürlich auch erstmal eingerichtet werden.

    Zusammenfassung: Sowohl bei der Rechteverteilung als auch der Absicherung durch Backups rumschludern, dann läuft das. ;)