カテゴリー別アーカイブ: Minecraft

minecraftサーバのOP権限を盗むプログラムを起動したり、試したりしないでください。

http://forums.bukkit.org/threads/security-bulletin-do-not-test-run-op-gain-exploit-programs.65353/
の翻訳です。

【要約】
OP権限をハックするツールは、自分が管理するサーバ上であっても試すべきではない。そのツールは、実際には利用者のユーザ情報を盗んでいる。
OP権限の脆弱性に関する情報を見つけた場合は、公な場所ではなくbukkitの開発者やその管理者に直接報告してほしい。もしくはhttp://leaky.bukkit.orgでプライベートチケットを取得して報告してほしい。

【全文】
自分が管理してるサーバやオフラインモードのサーバであっても、op権限を不正に得る意味はありません。
別の目的を謳っているプログラムは、脆弱性の確認などとあなたを騙し、あなたの情報を抜き取る為に、プログラムを実行させようとします。
すべてのビデオがマインクラフトを起動する前にプログラムを起動させたり、ログインさせようとする。もしくは、プログラム実行後にマインクラフトを再起動させようとしていることに気づくはずです。
これはプログラムがIPアドレスとOP権限を盗むためにあなたが入力したユーザーネーム、パスワードを製作者に送信するように設計されている為です。
実際にはop権限を盗めていない場合でも、ビデオを信じさせるために、改変したクライアントにより/opコマンドへのレスポンスとしてローカルでのメッセージを表示させて、いかにも/opコマンドが成功したかのように見せかけるのは簡単なことです。
とにかく、プログラムはビデオをダウンロードさせたり、公に報告をいれさせたり、いいねボタンをおさせたりして
以下のようなメールを遅らせようとします。

New server to grief:安全かどうか確認しようとあなたが入力したIPアドレス
Username:
Username:

この問題が報告されるときにはいつも同じような事が言われます。
プログラムは自分のサーバがリスクを抱えていないか不安に思い、ツールで確認しようとしている愚かな管理者を騙すようにできています。
後になって、ユーザ権限やパスワードがもれているために彼らのサーバでop権限が悪用されていことに気づくでしょう。
誰かが本当のopを入手するエキスプロート(不正な手段や本来意図されていない形で悪事を働くことです)を私に報告してくれるまでは、この事について話し合うのをやめ、このハッキングが広まるのを防ぐつもりです。
報告してくれたエキスプロートについては深刻に受け止め、一つ一つに対して調査を行います。

今のところ、不正にop権限を入手するようなエキスプロートは見つかっておらず、報告してくれたすべてのエキスプロートがあなたやあなたのサーバで悪さを働くためにマルウェアによってあなたの情報を集めるものでした。

エキスプロートを報告しようとしてる場合は、公のディスカッションの場に投稿するのではなく、私や私の管理者に直接報告するか、http://leaky.bukkit.orgでプライベートチケットを作成して報告することをお勧めいたします。