【重要】关于后门插件的预防措施
今日有人反馈Mcbbs与Zuimc论坛有人使用小号马甲发布后门插件:http://www.zuimc.com/thread-39766-1-1.html
我已初步了解MCBBS原帖,http://www.zuimc.com/forum.php?m ... id=39766&pid=164330
未在帖内仅有的截图上发现恶意代码【截图内代码为统计代码,非后门或破坏型代码】,但不排除是发帖者没有截图截出。
从涉事网站也可以看出来者不善。
在此请大家若发现可疑插件,提交给我或论坛其他有反编译及阅读能力的成员检查。
同时建议广大服主:
1、临时解决,独立服务器请改HOSTS,将此域名mckhd.tk屏蔽指向127.0.0.1,如何【改HOST】请百度;
2、有技术能力的服主,应严格控制服务器插件的外网访问权限,使用Iptables做好过滤;
3、从今起在网上下载插件后,使用winrar等压缩软件直接打开插件文件,打开plugin.yml文件查看是否有奇异的指令;
4、可简单的在后台使用/? 或 /help 指令,查看是否有奇异指令出现,进行追查;
5、使用AutoSaveWorld插件可以检测到一些插件的外网请求;
6、请尽量了解服务器内所有插件的用途及指令,可避免不必要的损失;
各位服主可以在后台输入【/? 】或【/help】并将所有输出内容发布到最MC论坛询问是否有异常指令。 如有发现可联系我id上的联系方式。 这个不太好使的,
有JAVA编写者可以通过代码混淆或者其他方式隐藏命令
我推荐的方法:
使用安全狗,拒绝除了服务器端口以外的任何连接(还有FTP等)
至于yml...
不靠谱的,没人会去修改yml这个明显的东西
还有就是看plugin.yml的XXX.XXX(后面往往是插件的真名)
然后去dev官网搜索是否有该插件开源,若开源则必须小心! DDMCloud 发表于 2016-4-29 19:24 static/image/common/back.gif
直接查方法关键词...
关键是假如对面有代码混淆?
后门插件都会有一些代码混淆 DDMCloud 发表于 2016-4-29 21:35 static/image/common/back.gif
...直接用jd-gui查查看执行危险方法啊
例如setop
这些一般不会变的
的确,
但是这是一般情况..
假如是我写我会把setup写在最前面,
减小可疑度,然后大肆代码混淆,
自己看得懂对面简直就是GG
好啦,你也是一名技术~相信你也懂
不过对于新手腐竹来说的确是很有用 DDMCloud 发表于 2016-6-4 15:18 static/image/common/back.gif
@zhouhaha
反射的话 应该也有关键词的吧
char a = 't';
String d = "o";
getMethod("se"+a+"+d.toUpperCase()+'p');
页:
[1]
2