Server "Force OP Hack" - Der SessionStealer
Da Bereits falsche Gerüchte aufkommen, würde ich das gerne mal aufklären.
Dieser Op-Hack ist keineswegs ein Keylogger (
), sondern ein in Java geschriebenes Programm, welches Zugriff auf die Session, also "die Rechte" eines Spielers ermöglicht. Dieses hat nur Sinn, wenn ein Spieler mit Rechten, also etwa ein Admin auf den Server joint. Sobald dies der Fall ist, führt das Tool über die Session dieses Spielers die von Angreifer definierten Befehle durch.
Das Tool täuscht einen Serverausfall vor, und kickt sämtliche Personen, welche versuchen dem Server beizutreten. Es ermöglicht weiters eine Fake-user Anzahl festzulegen, die Anzahl der maximalen Spieler kann verändert werden und eine neue MODT kann festgelegt werden. Sobald das Fenster geschlossen wird, ist der Server wieder normal bespielbar.
Der Angreifer muss noch auf dem Listen Port, welcher vorher in der Firewall freigegeben werden muss, den Server laufen lassen auf dem das Tool die Befehle weitergibt.
Sich dagegen zu wehren, ist beinahe unmöglich. Ich empfehle euch, nach jedem seltsamen Serverausfall die ops.txt, banned-players.txt und die banned-ips.txt auf nicht bekannte Einträge zu überprüfen.
Lösungsansätze:
- Registrationsplugin wie AuthMe oder xAuth installieren + Session Reminder in config ausstellen.
- Keine Fremdwerbung von Servern auf dem eigenen erlauben.
Folgender Kommentar von Rene8888:
Hier der Angekündigte
Dieser Op-Hack ist keineswegs ein Keylogger (
), sondern ein in Java geschriebenes Programm, welches Zugriff auf die Session, also "die Rechte" eines Spielers ermöglicht. Dieses hat nur Sinn, wenn ein Spieler mit Rechten, also etwa ein Admin auf den Server joint. Sobald dies der Fall ist, führt das Tool über die Session dieses Spielers die von Angreifer definierten Befehle durch.Das Tool täuscht einen Serverausfall vor, und kickt sämtliche Personen, welche versuchen dem Server beizutreten. Es ermöglicht weiters eine Fake-user Anzahl festzulegen, die Anzahl der maximalen Spieler kann verändert werden und eine neue MODT kann festgelegt werden. Sobald das Fenster geschlossen wird, ist der Server wieder normal bespielbar.
Der Angreifer muss noch auf dem Listen Port, welcher vorher in der Firewall freigegeben werden muss, den Server laufen lassen auf dem das Tool die Befehle weitergibt.
Sich dagegen zu wehren, ist beinahe unmöglich. Ich empfehle euch, nach jedem seltsamen Serverausfall die ops.txt, banned-players.txt und die banned-ips.txt auf nicht bekannte Einträge zu überprüfen.
Lösungsansätze:
- Registrationsplugin wie AuthMe oder xAuth installieren + Session Reminder in config ausstellen.
- Keine Fremdwerbung von Servern auf dem eigenen erlauben.
Folgender Kommentar von Rene8888:
Es ist nun nicht mehr klar, ob dies wirklich gepacht werden kann.Quote:
Das kann nicht gepatcht werden, weil es anders nicht funktioniert sich auf einem Server einzuloggen.
Hier der Angekündigte
