плагин на арест майнкрафт
Описание плагина Simple Police:
Simple Police — это простой в использовании полицейский плагин со многими функциями
Особенности игры
Вот некоторые основные вещи, которые этот плагин может сделать:
1. позволяет арестовывать игроков и открывает графический интерфейс при аресте
2. позволяет вам платить полиции, когда вы арестовываете игрока
3. позволяет вам брать деньги у игрока, который был арестован
4. Система обыска, позволяющая забрать контрабандные предметы у игрока, но вы можете установить процент нахождения предмета
5. файл message.yml позволяет перевести этот плагин на любой язык (enlgish используется по умолчанию, а испанский можно найти по ссылке ниже)
https://github.com/fierceeo/SimplePolice/tree/master/Translations
6. Полицейский чат
Тюремная Система:
Вы можете атаковать игрока с помощью дубинки (вы можете изменить материал дубинки в файле config.yml), который откроет графический интерфейс с вопросом, как долго вы хотите посадить этого игрока в тюрьму.
Система обыска:
Система обысков позволяет вам в основном сканировать игроков на предмет контрабандных предметов.
Такие вещи, как вероятность того, что предмет будет обнаружен, и материал для флешки могут быть настроены в конфигурационном файле.
Система фрискинга поддерживает нестандартные предметы и поддерживает качественные оружейные ружья.
911 система:
Игроки могут «набрать 911», используя /911 (сообщение) или просто /911, который уведомляет всю полицию на сервере
Полиция ТП:
Полиция может телепортироваться к игрокам в пределах сконфигурированного радиуса от них
Полицейский Чат:
Полиция может общаться с помощью /police chat
Вы можете установить местоположение тюрьмы с помощью «/police setjail».
Чтобы добавить полицейского /police add (имя пользователя)
Чтобы посадить игрока в тюрьму, убедитесь, что вы полицейский, и атакуйте игрока с помощью огненного стержня.
Команды плагина Simple Police:
/police add (Ник игрока) — Добавить полицейского
/police remove (Ник игрока) — Удалить игрока из рядов полиции
/police help — Показать все команды
/police tp (Ник игрока) — Телепортирует игрока на случайное расстояние от игрока (максимальное расстояние настраивается в конфиге)
/police admin — Показывает команды администратора плагина
/police unjail — Освободить игрока из тюрьмы
/police chat — Включить полицейский чат
/911 — Обратиться в полицию
Права плагина Simple Police:
police.add — Позволяет добавить полицейского в команду
police.remove — Позволяет удалить полицейского
police.help — Позволяет просматривать страницы помощи
police.list — Позволяет увидеть список полицейских
police.unjail — Позволяет вам освободить из тюрьмы кого-то
Перевод плагина Simple Police:
Как установить плагин Simple Police?
Вредоносные плагины на серверах Minecraft — вот такие детские шалости
Когда-то я был одним из участников проекта BukkitDev и занимался проверкой плагинов, которые туда заливались.
Каждый новый плагин и каждое обновление декомпилировались, чтобы найти в программном коде критичные ошибки (например такие, которые могут значительно ухудшить производительность сервера) или какой-то вредоносный код.
Ошибки встречались довольно часто, ещё чаще попадались бесполезные плагины, их мы тоже отклоняли, а нечто похожее на вредоносный код мне попалось лишь однажды.
В тот плагин была встроена «секретная» команда, которая давала тому, кто её набрал, определённые преимущества. Автор сказал, что забыл убрать «тестовую функцию», и позднее перезалил плагин без каких-то хитростей.
Плагины с бэкдорами я встречал уже потом. Такие плагины периодически пытались распространять через rubukkit (там это быстро отлавливалось — желающих заглянуть в чужой программный код было довольном много), а ещё несколько раз я видел слитые платные плагины на форумах и в пабликах ВК, которые были дополнены не очень приятными возможностями.
Мне всегда казалось, что это явление не массовое, но недавно мне написал человек, который на условиях анонимности рассказал о том, как он с приятелями на протяжении продолжительного времени занимался получением доступа к серверам Minecraft.
Привожу его рассказ с небольшими изменениями и сокращениями.
Детская шалость
Приблизительно 5 лет назад я и мои знакомые занимались «нехорошими делами» (точнее, не совсем легальными) — мы разными способами получали несанкционированный доступ к серверам Minecraft Java Edition.
Это была затянувшаяся детская шалость, которая лично мне приносила некоторое удовольствие. Было интересно найти уязвимость на сервере, чтобы проникнуть «в тыл», натворить что-нибудь — разрушить спаун, испортить базу данных или полностью удалить сервер вместе с резервными копиями.
У нас не было каких-то коммерческих целей, тем не менее, мы совершенствовали наши методы работы и в итоге написали плагин, позволяющий нам не просто выдать себе права оператора на сервере, а получить полноценный доступ к хостингу. Мы могли выполнять системные команды (поддерживались как Windows, так и Linux), могли скачивать любые файлы с сервера и загружать на сервер свои.
Практически сразу же функционал этого плагина был внедрён в разные популярные плагины вроде CustomJoinItems.
Плагины с нашим вредоносным кодом мы публиковали в группах ВК, посвящённых «сливам». Там публиковались сборки серверов и просто редкие полезные плагины. Публикации с нашим «сюрпризом» делались по знакомству с одним из администраторов подобной группы. Эта услуга стоила нам ровно 0 рублей, но принесла нам множество серверов, с которыми мы могли делать всё, что хотели.
Вся эта история продолжалась недолго, через пару месяцев мы потеряли интерес, остановили сервер, с помощью которого производилось управление заражёнными серверами, и перестали заниматься подобными вещами.
После этого мы создали инфоповод — опубликовали на форумах статью, которая рассказывала о том, как уязвимы серверы Minecraft. Благодаря ней многие администраторы серверов стали серьёзнее относиться к вопросам безопасности.
Плагин, который спал 5 лет
Правда, у этой публикации был и другой эффект. Мне до сих периодически пишут люди с просьбой поделиться нашим средством управления — исходным кодом плагина, который содержит вредоносный код и серверной частью для управления уязвимыми серверами.
Недавно мне написал человек и попросил «оживить» наш сервер, который использовался 5 лет назад. Он рассказал, что занимался распространением нашего плагина. Его интересовала статистика по количеству зараженных серверов и конкретные IP-адреса. Думаю, хотел шантажировать администраторов серверов или заняться саботажем ради удовольствия.
Делиться с ним такой информацией я не планировал, но мне стало интересно собрать статистику — сколько серверов может быть заражено спустя пять лет?
У меня не осталось конкретных наработок, поэтому я написал простенький сервер, выполнявший лишь одну функцию — логирование IP-адресов, с которых производились подключения.
К моему удивлению за двое суток было выполнено порядка 180 подключений с 60 различных адресов. Это больше, чем было в 2015 году, когда мы активно распространяли наши плагины. Наш код не только не умер вместе со старыми серверами, а наоборот распространился.
Я связался с несколькими администраторами серверов из полученного списка и рассказал о том, что на их сервере установлен вредоносный плагин — один из тех, что использовался нами 5 лет назад.
Один из администраторов сообщил, что приобрёл сборку своего сервера у одной известной студии, которая занимается созданием серверов «под ключ». Другой администратор получил наш плагин в бесплатной сборке, распространяемой в группе этой же студии.
О чём это может говорить, о том, что при создании сборки плагины в неё включаются без проверки, или о том, что это делается намеренно — я не знаю. Но они существуют уже давно, в группе ВК у них 2,5 тыс. подписчиков, а значит, через неё могут распространять всё что угодно.
Мойте руки перед едой и не загружайте плагины из непроверенных мест
Мораль истории можно выразить в виде советов администраторам серверов:
Примечание от fromgate: Я сталкивался с тем, что даже известные и уважаемые авторы включали вредоносный код в плагины «на всякий случай» — в качестве защиты от недобросовестных заказчиков.
Заключение
Рассказчик привёл мне несколько фактов, которые я не могу привести, чтобы не нарушить его анонимность. Также он предоставил мне один из плагинов, которые они распространяли.
Если говорить о фактах — я их проверил, мне они кажутся достаточно правдоподобными. Следы упомянутых событий остались в сети. И при наличии желания и времени можно было бы воссоздать достаточно полную картину.