Rechte-Betrug

[Funk_it]

Heute habe ich einen ganz raffinierten Versuch eines Spielers erlebt.
Er hat mir (Admin) ein Buch überreicht und dort drin war ein Youtube-Link. Als ich auf den Link geklickt habe, führte ich automatisch den command durch, der dafür sorgt ihm sämtliche Rechte zu übertragen.

Wie ist das überhaupt möglich?! Ich habe sowas noch nie erlebt!
Ich habe danach gegoogled, habe dort aber nur Tutorials gefunden wie man das ganze mit Commandblocks macht, die der Spieler ja nun nicht zur Verfügung hatte.

Ich bitte um Erklärung.

LG Funk_it

 

[MrsGoms]

Ohaaaa, krasse Geschichte!
Eine Erklärung dafür habe ich nicht parat, aber man sollte das vielleicht mal beobachten und
genauer untersuchen.
Ist sicherlich für andere Server-Inhaber hilfreich.

Welche Version benutzt du und welche Plugins laufen auf deinem Server?
Und welcher Command wurde genau ausgeführt?

Viele Grüße
MrsGoms

 

[combo]

Es gibt ein Event das heißt glaube ich HoverClick Event oder so damit ist das möglich aber dafür sollte man eigentlich eine Permission benötigen das hat mit dem neuen JSON Format zutun.

PS: Falls meine angaben nicht 100% Stimmen bitte Korrigieren.

 

[GermanHubertus]

@Funk_it Hatte er denn eine möglichkeit, einen /give Befehl auszuführen? In den dazugehörenden Metadaten kann man sowas einstellen

 

[Funk_it]

Der Befehl, der durch das Buch ausgeführt wurde war "manuaddp [name des betrügers] *" (aber das geht ja denke ich auch prinizipiell mit allen Befehlen, er hatte ja auch ausprobiert welches Perm-system wir nutzen)

Er hat es in der Creative-Welt geschrieben.
Besondere Befehle hat er nicht eingegeben, nur ausprobiert welches Perm-System wir nutzen, ob Bungeecord etc.

 

[SilberRegen]

Interessant, der Trick ist mir neu, aber hier werfen sich einige Frage auf, unter anderem, wie der Spieler an dieses Buch gekommen ist und welche Befehle hier genau ausgeführt worden sind.
EDIT: Okay, wie er dran gekommen ist scheint sich geklärt zu haben, hier wurde ausgenutzt, dass viele Administratoren sich fatalerweise nicht in den Perms einschränken. Wie man sowas effektiv nutzlos macht siehe unten:

Vom Prinzip her ist es ganz einfach abzusichern.
Wenn der Besitzer die Rechtevergabe über die Konsole regelt und sich und seinen Administratoren nicht einfach Sternchenpermissions gibt, funktioniert der Trick nicht.
Geziehlt /op und Befehle wie /pex user add <permission> oder /manuaddp nicht für den Ingamegebrauch freigeben.
Weniger Bequemlichkeit an den Tag legen bei den Permissions und sowas ist keine Gefahr.

 

[maxi1498]

@SilberRegen Guter Ansatz einfach alles für den InGame Berreich zu sperren! Das Problem ist allerdings so das ,wenn du, es gibt die Möglichkeit, einen Befehl in einem Buch ausführst der meistens vom Server ausgeführt wird mit dem richtigen Argument! Also ist das Sperren nutzlos geweorden!

Was allerdings die Frage offen lässt warum konnte er überhaupt diese Formatierungen nutzen! Das geht eigentlich nur mit OP!

Der YouTube Link dient nur der Ablenkung! Denn selbst wenn das Video eine verstecke Datei inne hat und diese ausgeführt wird würde dich dein PC zuerst fragen ob er das ausführen soll!

Mein Rat nimm keine Links an die in Bücher geschreiben sind er soll sie dir per PN oder sonst was schicken aber niemals in einem Buch auf Links klicken!

PS: Dazu muss ein Griefer etc sich schon sehr gut auskennen! Den dieser Befehl Erfordert das Wissen über NBT Tags und welche Plugins du installiert hast ! Püfe mal ib ein normaler Spieler /? machen kann und ihm etwas angezeigt wird!

 

[meytro]

@SilberRegen Guter Ansatz einfach alles für den InGame Berreich zu sperren! Das Problem ist allerdings so das ,wenn du, es gibt die Möglichkeit, einen Befehl in einem Buch ausführst der meistens vom Server ausgeführt wird mit dem richtigen Argument! Also ist das Sperren nutzlos geweorden!

Was allerdings die Frage offen lässt warum konnte er überhaupt diese Formatierungen nutzen! Das geht eigentlich nur mit OP!

Der YouTube Link dient nur der Ablenkung! Denn selbst wenn das Video eine verstecke Datei inne hat und diese ausgeführt wird würde dich dein PC zuerst fragen ob er das ausführen soll!

Mein Rat nimm keine Links an die in Bücher geschreiben sind er soll sie dir per PN oder sonst was schicken aber niemals in einem Buch auf Links klicken!

PS: Dazu muss ein Griefer etc sich schon sehr gut auskennen! Den dieser Befehl Erfordert das Wissen über NBT Tags und welche Plugins du installiert hast ! Püfe mal ib ein normaler Spieler /? machen kann und ihm etwas angezeigt wird!

Irgendwelche Quellen für das was du hier verzapfst?

 

[maxi1498]

QUELLE:

Lustige ist dazu brauchst du eigentlich schon Rechte!
Mindestens OP!

 

[felino]

Man kann ja Mit Gm Keine command blöcke cheaten man braucht den befehl give [Spieler] 137 1

 

[maxi1498]

Deswegen hab ich ja geschrieben irgendwas ist kaputt mit den Rechten oder falsch gesetzt!

 

[SilberRegen]

@SilberRegen Guter Ansatz einfach alles für den InGame Berreich zu sperren! Das Problem ist allerdings so das ,wenn du, es gibt die Möglichkeit, einen Befehl in einem Buch ausführst der meistens vom Server ausgeführt wird mit dem richtigen Argument! Also ist das Sperren nutzlos geweorden!
[...]

Wenn dem so wäre, bräuchte der Spieler keinen Administrator um den Link anzuklicken.

Hier wird ganz klar ausgenutzt, dass die meisten Serverbesitzer keine Ahnung von Absicherung haben oder sich keine Gedanken dazu machen. Auch frühere "Hacks" wie der Sessionstealtrick beruhten darauf, dass der Angreifer davon ausging, dass die Administratoren OP und/oder *-Permission haben.

Und ich glaube du hast mich nicht komplett verstanden, mit dem was ich sagen wollte.
Es geht nicht darum Befehle zu sperren, sondern die (eigenen) Rechte Ingame so einzuschränken, dass man nur die hat, die man tatsächlich im alltäglichen Betrieb braucht. Rechtevergabe gehört da nicht zu.

Insbesondere muss man dafür sorgen, dass niemand (auch man selber nicht!) auf dem Server OP-Rechte hat, die machen einem die beste Permissionconfig kaputt. Wer viel mit Commandblöcken arbeitet muss hier natürlich schauen, wie er das geschickt löst, aber das wird nur wenige Spieler betreffen.
Für den Serveralltag sollte die ops.json leer sein.

Um es mal mit dem Betrieb eines V- oder Rootservers zu vergleichen:
Sich Ingame *-Perm und OP zu geben ist genauso bescheuert wie den MC-Server oder einen anderen über den Root-nutzer zu starten, statt einen eingeschränkten Nutzer dafür zu erstellen und zu benutzen. Es wartet geradezu nur auf die nächste Sicherheitslücke um ausgenutzt zu werden.
Wer noch nie gehört hat, warum man mit root keine Programme/Gameserver auf einem Server laufen lässt, holt das bitte ganz schnell nach.

 

[AnonymusChaotic]

Um es mal mit dem Betrieb eines V- oder Rootservers zu vergleichen:
Sich Ingame *-Perm und OP zu geben ist genauso bescheuert wie den MC-Server oder einen anderen über den Root-nutzer zu starten, statt einen eingeschränkten Nutzer dafür zu erstellen und zu benutzen. Es wartet geradezu nur auf die nächste Sicherheitslücke um ausgenutzt zu werden.
Wer noch nie gehört hat, warum man mit root keine Programme/Gameserver auf einem Server laufen lässt, holt das bitte ganz schnell nach.

Gebe dir insofern recht, aber wer kein Linux direkt nutzt braucht sich darüber nicht unbedingt informieren. Kenntnisse in Windows-Sicherheit würde ich mehr empfehlen

Wer viel mit commandblocks arbeitet ist m.M. nach besser mit täglichen Backups beraten

 

[SilberRegen]

Ging mir mehr um das Prinzip, als tatsächliche Kenntnisse, wobei Windowssicherheit natürlich ein wichtiges Thema ist.

Tägliche Backups hatte ich jetzt als selbstverständlich im Hinterkopf, aber wo du es sagst, die müssen natürlich auch erstmal eingerichtet werden.

Zusammenfassung: Sowohl bei der Rechteverteilung als auch der Absicherung durch Backups rumschludern, dann läuft das.