Pobleme hack, faille ?

[Mofrix]

Bonjour je ne sais pas si je suis dans la bonne rubrique mais j'ai un énorme problème, je dispose d'un petit serveur pour le fun (public) et ou ce matin j'ai reçus ce message de l'un des membres :

Désolé des majuscules dans le titres mais ce soir on jouait sur le serveur et "Je_suis_Roberto" et "MarmotteDream" sont venu on Kické Morfix annulé toutes les factions et donc enlevé tout les claim il nous ont aussi insulter nos mamman
Je leur ait naturellement dit de "rester en chien" et d'autres remarque . Ils ont aussi mit toute la map en safe zone et on sûrement détruit le spawn .Ils ont aussi tué Mister Sheep plusieurs fois d'affilée donc Bon qu'est qu'on va faire les mecs

Je tiens a préciser que je possede XAuth comme plugin de sécurité, comment ces joueurs ont ils pu faire sachant que personne n'a mon mot de passe ? :o

 

[Detobel36]

Salut,

Je sais qu'il existe plusieurs technique pour se op sur un serveur ou de connecter avec le comté admin...
Juste une question, est ce que les joueurs peuvent parler dans le chat avant de s'être logger (taper le /login) ? A tu mis en place le système de session (si tu a fait ton mot de passe que tu te déco et que tu te reco ensuite, est ce que tu doit retaper ton mot de passe) ?

Pour éviter ce genre de mauvaise surprise, je t'invite a installer un plugin de backup...
La meilleur solution est d'interdire les version crack...


Cordialement,
Detobel36

 

[Mofrix]

Les joueurs peuvent parlé avant de ce logguer mais en aucun cas tapé une commande tels que /op par exemple sa dis que tu n'es pas logger, La session ce deco des que tu quitte tu dois te re logger, quelqu'un a t-il une solution ?

 

[Detobel36]

Salut,

Les joueurs peuvent parlé avant de ce logguer mais en aucun cas tapé une commande tels que /op par exemple sa dis que tu n'es pas logger, La session ce deco des que tu quitte tu dois te re logger, quelqu'un a t-il une solution ?

Tu va trouver une solution aujourd'hui, et demain ils auront trouvé un nouveau bug....
Ban-ip les... ce serra déjà ça... ne laisse pas parler les joueurs avant d'avoir faire le /login (certaine commande comme celle du plugin faction n'ont pas besoin de / pour fonctionner...).
Et le mieux, reste de faire des backup régulier de ta map te de tes plugins (il existe des plugins qui font tout pour toi ).


Cordialement,
Detobel35

 

[LibraLeFourbe]

Il existe une faille avec Factions et xAuth...

En effet, xAuth empêche d'écrire des commandes avant de se /login, mais il n'empêche pas d'écrire sur le tchat.

Le plugin faction lui, dans sa configuration de base, autorise l'utilisation de commandes sans /.

  "baseCommandAliases": [
    "f"
  ],
  "allowNoSlashCommand": true,

Du coup, quelqu'un, sachant cela et de mal intentionné, peut se connecter à ton serveur sous le pseudo d'un admin et faire tout ce qu'il veut avec le plugin faction, car il pourra utiliser des commandes sans / qui ne sont pas bloquées par xAuth.

En gros, c'est ça...
Pour régler le problème, change ta configuration de Factions dans le 'conf.json'.

 "allowNoSlashCommand": false,

Penses également à vérifier qu'ils n'aient pas donné des droits à d'autres pseudos, au cas où...

 

[Tristiisch74]

Sry du up, mais pour les prochains qui lisent, y'a une autre faille avec Bungee (Morfix l'avais aussi utiliser sur mon serveur). Je peux la sécuriser mais c'est pas par rapport à Mc , c'est la machine. Je fait gratuit, passer par Skype: tristiisch74

 

[robin4002]

Cette discussion date de 2013 ...
Je ferme.