Как искать дыры в плагинах майнкрафт
![Advanced XRay - мод иксрей на поиск руд [1.17.1] [1.16.5] [1.15.2] [1.14.4] [1.12.2] [1.7.10]](https://ru-minecraft.ru/uploads/posts/2019-08/medium/1564616846_advanced-xray.jpg)
Мод Advanced XRay - это еще один вариант известного чита ИКСРЕЙ который используется для поиска руд и других блоков, он позволяет посмотреть сквозь другие блоки и копать в нужном направлении. Читы подобного типа называют ВХ (Wallhack) или же просмотр сквозь стены.
Плюсы данного мода:
Мод не делает стены\блоки прозрачными, он подсвечивает желаемые блоки выбранным цветом, что удобно при игре.
Мод позволяет выбрать любой блок (даже из модов) и подсветить его любым цветом, быстро включать и отключать подсветку.
Минусы:
Иногда сложно заметить подсвеченный блок на дальнем расстоянии.
Как пользоваться модом:
![Advanced XRay - мод иксрей на поиск руд [1.17.1] [1.16.5] [1.15.2] [1.14.4] [1.12.2] [1.7.10]](https://ru-minecraft.ru/uploads/posts/2019-08/medium/1564616275_4.jpg)
Открыв меню мода, вы увидите список блоков, некоторые включены, некоторые выключены.
Для включения\изменения нажмите ЛКМ или Shift+левой кнопкой.
Для добавления другого блока - Add Block и выбирайте.
Black Hole Storage - черная дыра для хранения RF [1.12.2] [1.11.2]
![Black Hole Storage - черная дыра для хранения RF [1.12.2] [1.11.2]](https://ru-minecraft.ru/uploads/posts/2017-07/medium/1499891966_black-hole-storage.jpg)
Мод Black Hole Storage - черная дыра для хранения RF энергии и жидкостей в майнкрафт.
Данный мод добавит приспособления для создания черной дыры в вашем мире игры, вы можете хранить в ней вашу индустриальную энергию и любую жидкость.
Данный мод пригодится вам только после развития, ведь для создания черной дыры вам потребуется более 33 миллиардов RF энергии. Дааа, дело это очень энергозатратное. Так же при неумелом создании черной дыры она начнет расширятся и поглощать ваш мир, каким то образом убрать ее у меня не получилось.
Я покажу как создать черную дыру, все крафты смотрите при помощи JEI ,
Понятно дело нам нужен источник RF энергии, но данный мод требует Hammer Core, в нем есть креативный бесконечный источник энергии.
Сначала создаем вот такую штуку: Atomic Transformer.
![Black Hole Storage - черная дыра для хранения RF [1.12.2] [1.11.2]](https://ru-minecraft.ru/uploads/posts/2017-07/thumbs/1499891475_black-hole-storage-1.jpg)
Засовываем внутрь куб из алмазов и вливаем в него 1 миллиард RF энергии.
![Black Hole Storage - черная дыра для хранения RF [1.12.2] [1.11.2]](https://ru-minecraft.ru/uploads/posts/2017-07/medium/1499891456_black-hole-storage-2.jpg)
Получаем темную материю, с ее помощью создаем Black Hole Former.
Далее ОБЯЗАТЕЛЬНО ставим 2 Black Hole Charger, прямо как на картинке, подключаем их к RF энергии, они тоже прилично потребляют.
![Black Hole Storage - черная дыра для хранения RF [1.12.2] [1.11.2]](https://ru-minecraft.ru/uploads/posts/2017-07/medium/1499891491_black-hole-storage-7.jpg)
Далее подключаем Black Hole Former к RF энергии и вливаем в него 32 миллиарда RF энергии.
Отлично, черная дыра создана и стабильна:
![Black Hole Storage - черная дыра для хранения RF [1.12.2] [1.11.2]](https://ru-minecraft.ru/uploads/posts/2017-07/medium/1499891510_black-hole-storage-8.jpg)
Далее вы можете устанавливать специальные коннекторы для введения и доставания энергии и жидкости из черной дыры.
Если вы не установите Black Hole Charger
То черная дыра будет увеличиваться, засасывать все и всех, будет портить карту, в конце концов уничтожит ее.
Вредоносные плагины на серверах Minecraft — вот такие детские шалости
Когда-то я был одним из участников проекта BukkitDev и занимался проверкой плагинов, которые туда заливались.
Каждый новый плагин и каждое обновление декомпилировались, чтобы найти в программном коде критичные ошибки (например такие, которые могут значительно ухудшить производительность сервера) или какой-то вредоносный код.
Ошибки встречались довольно часто, ещё чаще попадались бесполезные плагины, их мы тоже отклоняли, а нечто похожее на вредоносный код мне попалось лишь однажды.
В тот плагин была встроена «секретная» команда, которая давала тому, кто её набрал, определённые преимущества. Автор сказал, что забыл убрать «тестовую функцию», и позднее перезалил плагин без каких-то хитростей.
Плагины с бэкдорами я встречал уже потом. Такие плагины периодически пытались распространять через rubukkit (там это быстро отлавливалось — желающих заглянуть в чужой программный код было довольном много), а ещё несколько раз я видел слитые платные плагины на форумах и в пабликах ВК, которые были дополнены не очень приятными возможностями.
Мне всегда казалось, что это явление не массовое, но недавно мне написал человек, который на условиях анонимности рассказал о том, как он с приятелями на протяжении продолжительного времени занимался получением доступа к серверам Minecraft.
Привожу его рассказ с небольшими изменениями и сокращениями.
Детская шалость
Приблизительно 5 лет назад я и мои знакомые занимались «нехорошими делами» (точнее, не совсем легальными) — мы разными способами получали несанкционированный доступ к серверам Minecraft Java Edition.
Это была затянувшаяся детская шалость, которая лично мне приносила некоторое удовольствие. Было интересно найти уязвимость на сервере, чтобы проникнуть «в тыл», натворить что-нибудь — разрушить спаун, испортить базу данных или полностью удалить сервер вместе с резервными копиями.
У нас не было каких-то коммерческих целей, тем не менее, мы совершенствовали наши методы работы и в итоге написали плагин, позволяющий нам не просто выдать себе права оператора на сервере, а получить полноценный доступ к хостингу. Мы могли выполнять системные команды (поддерживались как Windows, так и Linux), могли скачивать любые файлы с сервера и загружать на сервер свои.
Практически сразу же функционал этого плагина был внедрён в разные популярные плагины вроде CustomJoinItems.
Плагины с нашим вредоносным кодом мы публиковали в группах ВК, посвящённых «сливам». Там публиковались сборки серверов и просто редкие полезные плагины. Публикации с нашим «сюрпризом» делались по знакомству с одним из администраторов подобной группы. Эта услуга стоила нам ровно 0 рублей, но принесла нам множество серверов, с которыми мы могли делать всё, что хотели.
Вся эта история продолжалась недолго, через пару месяцев мы потеряли интерес, остановили сервер, с помощью которого производилось управление заражёнными серверами, и перестали заниматься подобными вещами.
После этого мы создали инфоповод — опубликовали на форумах статью, которая рассказывала о том, как уязвимы серверы Minecraft. Благодаря ней многие администраторы серверов стали серьёзнее относиться к вопросам безопасности.
Другие версии XRay:
-
- самый первый икс-рей
- икс-рей текстурпак
- икс-рей для лайтлоадер
- иксрей для фабрика и форджа
![Advanced XRay - мод иксрей на поиск руд [1.17.1] [1.16.5] [1.15.2] [1.14.4] [1.12.2] [1.7.10]](https://ru-minecraft.ru/uploads/posts/2019-08/medium/1564616283_2.jpg)
Включена подсветка сундуков (данж)
Как установить мод:
- Установи Forge или Fabric
- Установи все дополнительные моды если указано.
- Скачай мод и скопируй в .minecraft/mods
- В лаунчере запускай версию игры с форджем или фабриком.
1.7.10: fgtxray-1.7.10-1.0.8.jar [40,07 Kb]
1.8.9: fgtxray-1.8.9-1.1.0.1.jar [42,41 Kb]
1.9.4: fgtxray-1.9.4-1.0.9.jar [41,42 Kb]
1.10.2: xray-1.10.2-1.3.1.jar [89,71 Kb]
1.11.2: xray-1.11.2-1.3.3.jar [88,95 Kb]
1.12.2: xray-1.12.2-1.6.0.jar [119,56 Kb]
1.14.4: xray-1.14.4-2.0.3.jar [124,68 Kb]
1.15.2: xray-1.15.2-2.2.0.jar [126,46 Kb]
1.16.4: xray-1.16.4-2.6.0.jar [128,69 Kb]
Плагин, который спал 5 лет
Правда, у этой публикации был и другой эффект. Мне до сих периодически пишут люди с просьбой поделиться нашим средством управления — исходным кодом плагина, который содержит вредоносный код и серверной частью для управления уязвимыми серверами.
Недавно мне написал человек и попросил «оживить» наш сервер, который использовался 5 лет назад. Он рассказал, что занимался распространением нашего плагина. Его интересовала статистика по количеству зараженных серверов и конкретные IP-адреса. Думаю, хотел шантажировать администраторов серверов или заняться саботажем ради удовольствия.
Делиться с ним такой информацией я не планировал, но мне стало интересно собрать статистику — сколько серверов может быть заражено спустя пять лет?
У меня не осталось конкретных наработок, поэтому я написал простенький сервер, выполнявший лишь одну функцию — логирование IP-адресов, с которых производились подключения.
К моему удивлению за двое суток было выполнено порядка 180 подключений с 60 различных адресов. Это больше, чем было в 2015 году, когда мы активно распространяли наши плагины. Наш код не только не умер вместе со старыми серверами, а наоборот распространился.
Я связался с несколькими администраторами серверов из полученного списка и рассказал о том, что на их сервере установлен вредоносный плагин — один из тех, что использовался нами 5 лет назад.
Один из администраторов сообщил, что приобрёл сборку своего сервера у одной известной студии, которая занимается созданием серверов «под ключ». Другой администратор получил наш плагин в бесплатной сборке, распространяемой в группе этой же студии.
О чём это может говорить, о том, что при создании сборки плагины в неё включаются без проверки, или о том, что это делается намеренно — я не знаю. Но они существуют уже давно, в группе ВК у них 2,5 тыс. подписчиков, а значит, через неё могут распространять всё что угодно.
Мойте руки перед едой и не загружайте плагины из непроверенных мест
Мораль истории можно выразить в виде советов администраторам серверов:
- Предотвращайте все неизвестные входящие и исходящие подключения на сервере при помощи файрвола.
Управление:
Открыть меню мода: Z, в новых версия G (можно изменить в настройках управления)
Включить\выключить - backslash (находится под кнопкой стирающей текст)
![Advanced XRay - мод иксрей на поиск руд [1.17.1] [1.16.5] [1.15.2] [1.14.4] [1.12.2] [1.7.10]](https://ru-minecraft.ru/uploads/posts/2019-08/medium/1564616335_5.jpg)
Заключение
Рассказчик привёл мне несколько фактов, которые я не могу привести, чтобы не нарушить его анонимность. Также он предоставил мне один из плагинов, которые они распространяли.
Если говорить о фактах — я их проверил, мне они кажутся достаточно правдоподобными. Следы упомянутых событий остались в сети. И при наличии желания и времени можно было бы воссоздать достаточно полную картину.
Читайте также: