Session Stealing

[Toastbrot_290]

Moin,

nachdem Ich nun bereits 2x mit solchen mehr oder weniger erfolgreichen "Session Stealing" Angriffen zu tuen hatte möchte Ich jetzt mal andere Server Admins warnen!

Hier wurde das Problem und der Ablauf schon ganz gut erklärt.

Im Grunde ist die Idee sehr einfach. Der "Hacker" versucht an die Session ID des Opfers zu kommen. Mit Hilfe dieser kann er sich beim Server als das Opfer "ausgeben" und Befehle ausführen!
Das Opfer ist dabei natürlich ein Admin der dann dem "Hacker" OP Rechte auf dem Server gibt. Das einzigste was der "Hacker" erreichen muss ist, dass das Opfer auf einem Fake-Server "joint" wo es direkt wieder gekickt wird. Mit Hilfe der bei diesem Login Versuch erlangten "Infos" kann sich der der "Hacker" nun als das Opfer "ausgeben".

3 Methoden sich zu schützen:

1. Alle Admins auf dem Server warnen nie auf Servern joinen die angeblich: "Die Map kopiert haben" oder anderweitig im Chat angekündigt werden.
2. In NoCheat die Funktion aktivieren /op nur von der Console ausführen zu lassen. (Hilft nur begrenzt)
3. Ein extra Plugin hierfür Installieren. (Empfehle Ich nur erfahrenen Server Admins)

Sry. für die ganzen Anführungszeichen jedoch sind dies alles nur Begriffe die den teilweise etwas komplizierteren Technischen Vorgang einfacher Umschreiben. Und natürlich die "Hacker" die eig. gar keine wirklichen Hacker sind.

Mfg
Toast

 

[Benni1000]

Jop, ist ja jetzt schon einige Zeit im umlauf das tool.
Server die authme oder ein anderes Login-Plugin haben müssen sich nicht vor sowas fürchten, da funktioniert das ganze nicht.
Blöd ist nur das man seitens Mojang nichts dagegen unternehmen kann.
Mich überrascht nur wie lange es gedauert hat bis die Kiddys auf so eine Idee gekommen sind.
Bei dem System das Minecraft verwendet liegt sowas ja ziemlich nahe.

 

[H4RDC0REx3]

Aber man kann das nur mit der Person machen die selbst OP ist oder?

 

[Benni1000]

Nein kann man nicht, das geht mit jedem beliebigen Spieler.

 

[Smuil]

Mir ist das auch schon seit längerem bekannt.......endlich hatte Authme und xAuth/vAuth einen Sinn

 

[H4RDC0REx3]

Aber der User muss die Rechte haben einen Spieler OP zu machen, oder?

 

[Benni1000]

Das kommt darauf an was für einen Command der Angreifer ausführen möchte.
Wenn du einen Admin hast der z.b die economy ändern kann, kann das der angreifer auch machen.

 

[Smuil]

Einfach niemals Promote oder OP-Rechte verteilen und dann hast du das wichtigste schonmal blockiert....

 

[H4RDC0REx3]

ich hab mir das mal gerade in youtube angeschaut. Das is ja der hammer.

 

[Cabraca]

Da das komplette Protokoll von Minecraft und auch die Authentifikation komplett bekannt ist, ist das alles nurnoch eine frage des könnens.
Hab selbst schon nen serverdummy geschrieben der nach außen aussieht wie n echter server mit whitelist aber eigentlich wie gesagt nur ein dummy ist.
Gibt sogar schon fertige Libraries zum Anwendungsprotokoll: https://github.com/Maincraft/MCPackets
Das Minecraft Protokoll gibts hier: http://www.wiki.vg/Protocol
Der rest ist nurnoch logik und können.

Aber zurück zum Thema: Der Kerl der den SessionStealer geschrieben hat, hat auch den Nodus Cheating Client mitentwickelt.
Das was die Leute mit solchen Programmen machen ist nicht toll.
Andererseits ist es aber auch ein Fehler von Mojang auf solche Sicherheitslücken nicht einzugehen.
Als Serverbesitzer ist es natürlich scheiße aber da muss man halt durch.

 

[Zahl]

Designfehler im Protokoll. Da das schon lange genug bekannt ist hoffe ich sehr stark, dass das in 1.3 ausgemerzt wird. Bis dahin halt nur noch den eigenen bzw. vertrauenswürdige Server joinen.

 

[Jobsti]

1. Es Team komplett warnen, net auf andere Server zu connecten, und wenn, dann nur im OfflineModeoder mit 2t Account.
2. OP Deaktivieren, 80% der Deppen kann nur eins /OP machen. Bei uns komplett deaktiviert und ALLES per Permissions geregelt.
3. Wichtige Commands einfach für alle Ränge, auch Admins sperren und nur per Console verfügbar machen (Stop, restart, alle permissions Commands bis auf Pro/demote usw.....)

4. Will man 100% auf Nr Sicher gehen, de Team oder sich selbst nur unwichtige Commands geben und ingame per Console nen Rang höher schieben, falls Funktionen beötigt werden (zB. WorldEdit).
5. Ja, man kann auch Plugins nehmen, dass sich das Team beim Login erst Authen muss, zB per Passwort etc.

Wiki sagt, mit 1.3 oder 1.4 wird das "Problem" angegangen und versucht es zu beheben.

 

[minority-gaming]

Letztens gab es hier eine Diskussion, ob man "böse" Spieler denunzieren darf. Das Ergebnis war, dass man das hier im Forum nicht darf.

Ich finde aber, dass Session-Stealer eine andere Qualität der Unruhestifter sind. Meine Frage also: darf man diese hier nennen, damit andere Server nicht auch das Problem bekommen?

Vielleicht sollte man auch eine Liste von Session-Stealer anlegen, damit sich das Problem mit den Hacker-Kiddies nicht ausweitet.

 

[Jobsti]

Diese Session-Stealer loggen sich doch auch mit onlineMode Accounts ein oder?
Somit bin ich definitiv dafür, dass diese genannt werden dürfen!
Ansonsten mcBans drauf, da sind schon genügend gelistet, welche somit erst garnet drauf kommen.

 

[minority-gaming]

ja die machen das mit Premium Accounts
den den wir hatten war noch nicht gelistet, jetzt ist er aber von uns gebannt in mcmbans

 

[minority-gaming]

Mir ist bewusst, dass ich hier jetzt Doppelposte, jedoch halt ich das Thema für wichtig und möglichst viele Leute sollten es sehen!

Zudem verstoße ich jetzt gegen die Regel, dass Spieler nicht denunziert werden sollen, aber da sich kein Admin dazu geäußert hat, riskiere ich auch das. Wenn ihr selbst Session-Stealer nicht denunzieren wollt, dann halte ich das für sehr gefährlich für alle Server!

Ich möchte alle Server-Betreiber ausdrücklich vor Ralf33 und King_Werner_97 warnen!
So wie es aussieht arbeiten sie zusammen, oder es handelt sich um die selbe Person.
Beide sind schon im MCBans-System permanent gebannt, aber Server, die andere MCBans Einstellungen benutzen oder garnicht an das System angeschlossen sind sollten auf der Hut sein!

Auszüge ihrer Vergehen auf Servern mit MCBans (jeweils ganz oben ist der Permanent Ban durch Mitarbeiter von MCBans zu sehen):

 

[Jobsti]

Super, vielen Dank!

 

[iSiiLeX]

Vorgehensweise, wenn deine Session gestohlen wurde:



1. Das Plugin NoCheatPlus Installieren

2. In den configs "opbyconsoleonly: true" einstellen.

3. Hacker deopen, alle Rechtewegnehmen, Banen und dir selbst alle Rechte wiedergeben.

4. Server Neu starten.

5. Sollte der Server Gegrieft sein (zerstört) bitte den Host dir ein Back-up raufzuspielen.

Eine andere möglichkeit ist auch das Plugin authme zu Installieren. Das ist das Plugin wo ihr immer "/login PW****" eingeben müsst.
Dieses schützt euren Server dann noch zusätzlich.

 

[Sn0wBlizz4rdalt]

Danke.

Danke für die Warnung. Ich wusste zwar bereits davon, aber ich hätte nie gedacht das es so schlimm sein könnte.

 

[Gelöschter Nutzer]

Dieses Thema existiert doch schon.