logo

AC又被黑了

Published on

下午突然看到服务器有人发

仔细一看

打开链接一看:

很无语,一开始以为是国外作案,黑进数据库了,一看我数据库根本没对外网开放

查来查去发现是有人盗了一个用来处理封禁的账号,进去之后一通乱封

把数据库恢复了一下备份,玩家还是进不去,我能进去,查了一下 litebans 的官网,是用了一个封锁服务器进入权限的指令,打了个指令就解决了。

很低级的手段,很无聊的恶趣味


后续

原本晚上前往教学楼复习数分,没有带电脑。

没想到,在傍晚又被黑了,因为只是还有管理号没有停掉,仅凭手机暂时解决了问题,在仔细推敲后,认为其是通过非法调用我部署在 web 服务器的 litebans 端的 api 来实现用拥有权限的玩家账号去封禁其他玩家。

结果在稍晚一点又一次被黑,终于意识到,事情根本没有那么复杂,只是因为 litebans 是 BC 插件,Authme 没办法限制登陆前对指令使用权限,任意一个有 litebans 权限的账号都在未登陆的情况下可以随意使用指令。其实早就应该发现我留了这种低级漏洞的,也没想道竟然这么久了才有人发现了这个这么简单的漏洞。