【重要】关于后门插件的预防措施

zuimc

今日有人反馈Mcbbs与Zuimc论坛有人使用小号马甲发布后门插件：
http://www.zuimc.com/thread-39766-1-1.html

我已初步了解MCBBS原帖，http://www.zuimc.com/forum.php?m ... id=39766&pid=164330
未在帖内仅有的截图上发现恶意代码【截图内代码为统计代码，非后门或破坏型代码】，但不排除是发帖者没有截图截出。

从涉事网站也可以看出来者不善。


在此请大家若发现可疑插件，提交给我或论坛其他有反编译及阅读能力的成员检查。

同时建议广大服主：
1、临时解决，独立服务器请改HOSTS，将此域名mckhd.tk屏蔽指向127.0.0.1，如何【改HOST】请百度；
2、有技术能力的服主，应严格控制服务器插件的外网访问权限，使用Iptables做好过滤；
3、从今起在网上下载插件后，使用winrar等压缩软件直接打开插件文件，打开plugin.yml文件查看是否有奇异的指令；
4、可简单的在后台使用/? 或 /help 指令，查看是否有奇异指令出现，进行追查；
5、使用AutoSaveWorld插件可以检测到一些插件的外网请求；
6、请尽量了解服务器内所有插件的用途及指令，可避免不必要的损失；

各位服主可以在后台输入【/? 】或【/help】并将所有输出内容发布到最MC论坛询问是否有异常指令。

唯一。

如有发现可联系我id上的联系方式。

V乐乐

这个不太好使的，
有JAVA编写者可以通过代码混淆或者其他方式隐藏命令
我推荐的方法：
使用安全狗，拒绝除了服务器端口以外的任何连接（还有FTP等）
至于yml...
不靠谱的，没人会去修改yml这个明显的东西
还有就是看plugin.yml的XXX.XXX（后面往往是插件的真名）
然后去dev官网搜索是否有该插件开源，若开源则必须小心！

V乐乐

DDMCloud 发表于 2016-4-29 19:24
直接查方法关键词...

关键是假如对面有代码混淆？
后门插件都会有一些代码混淆

V乐乐

DDMCloud 发表于 2016-4-29 21:35
...直接用jd-gui查查看执行危险方法啊
例如setop
这些一般不会变的

的确，
但是这是一般情况..
假如是我写我会把setup写在最前面，
减小可疑度，然后大肆代码混淆，
自己看得懂对面简直就是GG
好啦，你也是一名技术~相信你也懂
不过对于新手腐竹来说的确是很有用

zhouhaha

DDMCloud 发表于 2016-6-4 15:18
@zhouhaha
反射的话 应该也有关键词的吧

char a = 't';
String d = "o";
getMethod("se"+a+"+d.toUpperCase()+'p');