您尚未登录,请登录后浏览更多内容! 登录 | 加入最MC

QQ登录

只需一步,快速开始

 找回密码
 加入最MC

QQ登录

只需一步,快速开始

查看: 19259|回复: 18
打印 上一主题 下一主题

[公告] 【重要】关于后门插件的预防措施

[复制链接]
  • TA的每日心情
    奋斗
    2021-11-19 22:23
  • 签到天数: 368 天

    [LV.9]以坛为家II

    跳转到指定楼层
    楼主
    发表于 2016-1-20 01:09:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    今日有人反馈Mcbbs与Zuimc论坛有人使用小号马甲发布后门插件:
    http://www.zuimc.com/thread-39766-1-1.html

    我已初步了解MCBBS原帖,http://www.zuimc.com/forum.php?m ... id=39766&pid=164330
    未在帖内仅有的截图上发现恶意代码【截图内代码为统计代码,非后门或破坏型代码】,但不排除是发帖者没有截图截出。

    从涉事网站也可以看出来者不善。


    在此请大家若发现可疑插件,提交给我或论坛其他有反编译及阅读能力的成员检查。

    同时建议广大服主:
    1、临时解决,独立服务器请改HOSTS,将此域名mckhd.tk屏蔽指向127.0.0.1,如何【改HOST】请百度;
    2、有技术能力的服主,应严格控制服务器插件的外网访问权限,使用Iptables做好过滤;
    3、从今起在网上下载插件后,使用winrar等压缩软件直接打开插件文件,打开plugin.yml文件查看是否有奇异的指令;
    4、可简单的在后台使用/? 或 /help 指令,查看是否有奇异指令出现,进行追查;
    5、使用AutoSaveWorld插件可以检测到一些插件的外网请求;
    6、请尽量了解服务器内所有插件的用途及指令,可避免不必要的损失;

    各位服主可以在后台输入【/? 】或【/help】并将所有输出内容发布到最MC论坛询问是否有异常指令。

    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有帐号?加入最MC

    x

    评分

    参与人数 1MC币 +1 收起 理由
    liguo + 1 唉哟不错哟!

    查看全部评分

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
  • TA的每日心情
    慵懒
    2018-11-25 00:04
  • 签到天数: 658 天

    [LV.9]以坛为家II

    沙发
    发表于 2016-1-20 08:07:42 | 只看该作者
    如有发现可联系我id上的联系方式。
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
  • TA的每日心情

    2017-7-17 07:44
  • 签到天数: 71 天

    [LV.6]常住居民II

    板凳
    发表于 2016-2-18 10:02:17 | 只看该作者
    这个不太好使的,
    有JAVA编写者可以通过代码混淆或者其他方式隐藏命令
    我推荐的方法:
    使用安全狗,拒绝除了服务器端口以外的任何连接(还有FTP等)
    至于yml...
    不靠谱的,没人会去修改yml这个明显的东西
    还有就是看plugin.yml的XXX.XXX(后面往往是插件的真名)
    然后去dev官网搜索是否有该插件开源,若开源则必须小心!

    点评

    直接查方法关键词...  详情 回复 发表于 2016-4-29 19:24
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
  • TA的每日心情
    郁闷
    2016-6-29 11:34
  • 签到天数: 93 天

    [LV.6]常住居民II

    地板
    发表于 2016-4-29 19:24:09 | 只看该作者
    提示: 作者被禁止或删除 内容自动屏蔽
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
  • TA的每日心情

    2017-7-17 07:44
  • 签到天数: 71 天

    [LV.6]常住居民II

    5#
    发表于 2016-4-29 21:13:31 | 只看该作者
    DDMCloud 发表于 2016-4-29 19:24
    直接查方法关键词...

    关键是假如对面有代码混淆?
    后门插件都会有一些代码混淆

    点评

    又发现吕乐乐了..........  详情 回复 发表于 2017-5-24 20:27
    ...直接用jd-gui查查看执行危险方法啊 例如setop 这些一般不会变的  详情 回复 发表于 2016-4-29 21:35
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
  • TA的每日心情
    郁闷
    2016-6-29 11:34
  • 签到天数: 93 天

    [LV.6]常住居民II

    6#
    发表于 2016-4-29 21:35:06 | 只看该作者
    提示: 作者被禁止或删除 内容自动屏蔽
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
  • TA的每日心情

    2017-7-17 07:44
  • 签到天数: 71 天

    [LV.6]常住居民II

    7#
    发表于 2016-4-30 08:29:03 | 只看该作者
    DDMCloud 发表于 2016-4-29 21:35
    ...直接用jd-gui查查看执行危险方法啊
    例如setop
    这些一般不会变的

    的确,
    但是这是一般情况..
    假如是我写我会把setup写在最前面,
    减小可疑度,然后大肆代码混淆,
    自己看得懂对面简直就是GG
    好啦,你也是一名技术~相信你也懂
    不过对于新手腐竹来说的确是很有用
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
  • TA的每日心情
    郁闷
    2016-6-29 11:34
  • 签到天数: 93 天

    [LV.6]常住居民II

    8#
    发表于 2016-6-4 15:18:00 | 只看该作者
    提示: 作者被禁止或删除 内容自动屏蔽
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
  • TA的每日心情

    2015-11-5 13:08
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    9#
    发表于 2016-6-22 15:23:44 | 只看该作者
    DDMCloud 发表于 2016-6-4 15:18
    @zhouhaha
    反射的话 应该也有关键词的吧

    char a = 't';
    String d = "o";
    getMethod("se"+a+"+d.toUpperCase()+'p');

    点评

    好吧我服...可以考虑动态检测吧  详情 回复 发表于 2016-6-22 15:24
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
  • TA的每日心情
    郁闷
    2016-6-29 11:34
  • 签到天数: 93 天

    [LV.6]常住居民II

    10#
    发表于 2016-6-22 15:24:16 | 只看该作者
    提示: 作者被禁止或删除 内容自动屏蔽
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    您需要登录后才可以回帖 登录 | 加入最MC

    本版积分规则