Paylaşım Yabancılar Tarafından Türkiye Sunucularına Grief Saldırıları (Önemli)

[Graydeth]

Merhaba değerli MC-TR üyeleri,

Minecraft dünyasında her geçen gün yeni bir olayla karşılaşıyoruz. Bu konuyu, hem müşterim hem de arkadaşım olan bir kişinin sunucusunda yaşanan ciddi bir güvenlik problemini paylaşmak ve diğer sunucu sahiplerini bilgilendirmek amacıyla açıyorum. Okumanızı özellikle tavsiye ederim.

Dün saat 17:40 civarında, arkadaşımın sunucusu yabancı bir kişi tarafından “grief” saldırısına uğradı ve saldırı ne yazık ki başarılı oldu. Saldırıyı gerçekleştiren kişi, sonrasında site üzerinden bir talep oluşturarak belirli bir ücret karşılığında sorunu nasıl düzelteceğini anlatabileceğini, aksi takdirde tüm sunucuyu yok edeceğini söyledi.

Sunucu ekibi durumu fark eder etmez panel üzerinden sunucuyu kapatıp bize ulaştı. Hızlı müdahale sayesinde büyük bir kayıp yaşanmadan durumu kontrol altına aldığımızı düşünüyoruz.

Ancak asıl sorun şu:
Bu kişi Auth sistemini nasıl atlayarak kurucu hesabına giriş yaptı?

Log kayıtlarını incelediğimizde girişin 127.0.0.1 (localhost) IP adresi üzerinden yapıldığını gördük. Açıkçası daha önce bu şekilde bir girişe hiç rastlamadım.

Saldırıyı yapan kişiyle yaptığımız kısa konuşmada, açığın site alt yapısında olduğunu ve bu şekilde erişim sağladığını iddia etti. Açık konuşmak gerekirse bunun doğru olduğunu düşünmüyorum, ancak yine de ihtimal dahilinde değerlendirilmeli.

Şu an için aldığımız önlemler:​

• Tüm altyapıyı (Lobi/Velocity dahil) yeniden yapılandırdık​
• Ek güvenlik katmanları ekledik​
• Yetkili hesaplara PinPrompt ile ek doğrulama (PIN) koyduk​

Eğer gerçekten böyle bir açık varsa, geçici olarak önlem aldığımızı düşünüyoruz. Ancak konunun kaynağı hâlâ net değil.

Aklımızdaki sorular:​

• Gerçekten site tarafında bir açık olabilir mi?​
• Yoksa Velocity/Bungee yapılandırmasında bir güvenlik zafiyeti mi var?​
• Bir kullanıcı nasıl 127.0.0.1 IP’si ile giriş yapabilir?​
• Aynı anda iki farklı modda (örneğin biri Skyblock’ta oynarken, diğeri başka bir modda grief atarken) aynı hesap nasıl aktif olabilir?​

Benzer bir durumu daha önce yaşayan veya bu konuda bilgisi olan forum üyelerinin görüşlerini merak ediyorum. Fikirlerinizi ve olası çözüm önerilerinizi paylaşırsanız çok sevinirim.

Unutmayın, yıllarca verdiğiniz emekler tek bir güvenlik açığı yüzünden zarar görebilir. Bu yüzden tedbirli olmakta fayda var.​

 

[Apcu]

Site altyapısı olarak LeaderOS kullanıyorsanız açık olacağını sanmıyorum. Bir sürü büyük sunucu kullanıyor onlar da bu zamana kadar zarara uğrardı.

Bunun haricinde Velocity kullanılıp forward sistemini Modern olarak ayarladıktan sonra, portları kapatıp, preventportbypass gibi eklentiler kurarak büyük ölçüde önlem alınabilineceğini düşünüyorum. Tabiki de bunlar yeterli kalmayabilir, bir şekilde bypasslanabilir. Bunlara ek olarak yetkililer sunucuya girdiğinde Discord ile doğrulama, IP doğrulaması, kod doğrulaması, google auth doğrulaması gibi çeşitli doğrulamalarla da bu sorunların %100 engellenebileceğini düşünüyorum (farklı eklentiler tarafından çıkabilecek açıklar haricinde). Bu konuda bir sürü ücretsiz eklenti ve skript zaten piyasada bulunuyor. Ücretli örnek olarak kendi aProtect eklentimi gösterebilirim. Bunu reklam için vs. söylemiyorum gerçekten grief saldırısı yaşayan varsa ücretsiz de lisans tanımlarım artık stok eklenti tarafı ile pek ilgilenmiyoruz.

Bütün bu önlemler alındıktan sonra hala saldırı yapılabiliyorsa helal olsun.

 

[JukeVanilla]

Büyük ihtimal backend sunucusuna port ile girdiği için bu açık olmuştur 127.0.0.1 gözükmesinin sebebi de proxye bağlanmadan backend sunucusuna geçtiği için böyle gözüküyordur tek yapman gereken Velocity modern forward özelliğini kurmak.

 

[Scret3_HD]

Geçenlerde rastladım çoğu büyük sunucu hala domainini kendi sunucu ipleri üzerinden yönlendirme yapıyor ve bunlar büyük kazanç sağlayan sunucular cloudflare spectrum,tcp shield gibi yöntemler kullanalım aylık cebinizden çıkan 100 200 dolar arası bir fiyat sunucunuzu bence zorlamaz işi şansa bırakmamak gerek.

 

[JukeVanilla]

Geçenlerde rastladım çoğu büyük sunucu hala domainini kendi sunucu ipleri üzerinden yönlendirme yapıyor ve bunlar büyük kazanç sağlayan sunucular cloudflare spectrum,tcp shield gibi yöntemler kullanalım aylık cebinizden çıkan 100 200 dolar arası bir fiyat sunucunuzu bence zorlamaz işi şansa bırakmamak gerek.

TCPShield'in Türkiye sunucuları yok ping artacağı için kullanmıyorlar, Cloudflare'ın İzmir ve İstanbul da sunucuları var ama Cloudflare Spectrum için kullanıyorlar mi bilmiyorum kullansalar bile Cloudflare Spectrum fiyatı manyak pahalı aylık binlerce dolar vermen gerekir.

 

[Balzach]

çok uzun süre önce bir sunucum vardı vote sitesinden bulduğunu iddia eden fransız bir yabancı arkadaş sunucuya girdi tabi ozamanlar pek bişey bilmediğimizdenmidir bir kaç komutla sunucunun kafasını karıştırıp op yetkisi elde edip sunucuyu patlatmıştı ancak ilk defa böylesini görüyorum ilginç açıkçası

 

[Cihqt]

Geçenlerde rastladım çoğu büyük sunucu hala domainini kendi sunucu ipleri üzerinden yönlendirme yapıyor ve bunlar büyük kazanç sağlayan sunucular cloudflare spectrum,tcp shield gibi yöntemler kullanalım aylık cebinizden çıkan 100 200 dolar arası bir fiyat sunucunuzu bence zorlamaz işi şansa bırakmamak gerek.

Velocity zaten bu işe yaramıyormu hocam velocity ayrı bir proxy sunucusuna kurup sayısal ipleri backend sunucusuna yönlendirmek uygun olmazmı senin dediğin altyapı daha çok ddos saldırıları için veya websiteleri çökertecek bir bot saldırısı

not: Minecraft güvenliği hakkında pek bir bilgiye sahip değilim

 

[Cihqt]

ekstra olarak sunucu sahiplerinin grief yemeleri çok normal daha çoğu sunucu sahibi port firewall gibi terimleri tam anlamış değil linux docker gibi sunucuyu tamamen izole şekildede kurup kullanmıyor fix olarak windows server kullanılıyor

 

[Balzach]

ekstra olarak sunucu sahiplerinin grief yemeleri çok normal daha çoğu sunucu sahibi port firewall gibi terimleri tam anlamış değil linux docker gibi sunucuyu tamamen izole şekildede kurup kullanmıyor fix olarak windows server kullanılıyor

linux hiç kullanmadım minecraft sunucuları için linux kullanmak dahamı iyidir? ne gibi avantaj sağladı size veya sizlere

 

[Cihqt]

linux hiç kullanmadım minecraft sunucuları için linux kullanmak dahamı iyidir? ne gibi avantaj sağladı size veya sizlere

Linux öncelikle "şart değildir" sadece bir minecraft server kurup yürüteceksen fakat size şunları sunuyor

Tamamen ücretsiz tamamen performans ve tamamen güvenlik

ne gibi bir güvenlik sunuyor dersen linux için üretilen virüs türleri windowsa göre çok daha azdır ek olarak docker gibi yazılımlar ile izole bir şekilde minecraft sunucusunuzu kurabilirsiniz docker ne diye sorarsanız windowstaki VMware veya viritualbox ile tamamen aynı


Performas konusunda linux tartışmasız kaynak konusunda çok daha verilmli sistemin kendisi 100 300MB arası ram ve çok az bir cpu tüketiyor normal olarak sunucuya çok daha fazla kaynak demek

Bir kaç eksisinden birisi kullanması windowsa göre daha zor fakat sunucu sahiplerinin öğrenemeyeceği bir şey değil

Tabiki konu ile ilgili olarak sunucuda teknik bir açık bırakırsanız yine grieff yemek kaçınılmaz bu windows yada linux ile ilgili bir durum değil

 

[Buhari]

Sunucu yönetici OS hesabında çalıştırılmamalı.
25565 dışındaki tüm TCP portlar kapatılmalı. Diğer gerekli portlar hepsi gereken IP adreslerine (website, panel, kişisel IP) açılmalı. Minecraftmp bile kendi ip adreslerini veriyor whitelist açılabilsin diye.
Malware kontrolü sürekli yapılmalı.
Cloud Backup sistemleri düzenli olarak her sunucu için kullanılmalı.
Veritabanı yedeklemeleri yine Cloud'a her gün en az 2 kere yapılmalı.
2FA sistemleri tüm yetkili hesapları için zorunlu olarak açılmalı ekstra oyunculara da opsiyon olarak sunulmalı.
Velocity modern forward ve velocity secret key sistemleri düzenlice ayarlanıp kullanılmalı.
Hiçbir leak eklenti, program kullanılmamalı.
fail2ban tarzı modüller kesinlikle kullanılmalı.
OS updateleri düzenli bir şekilde takip edilmeli.
Eklenti updateleri düzenli şekilde takip edilmeli.
Pl-hide tarzı eklentiler kesinlikle kullanılmalı.
PlugmanX, Placeholderapi gibi eklentilerin dış URL'lerden veri çekmesi kesinlikle kapatılmalı.
OP, * permleri için alma/verme/güncellemelerinde notification sistemi yapılmalı.
WebSite scriptleri ismi bilindik yerlerden sağlanmalı. Veyahut mantıklıca CRSF/XSS gibi açıklarına dikkat edilerek kodlanmalı.
Sunucu içerisindeki tüm önemli sadece doğrulama amaçlı kullanılan veriler plaintext olmamalı. Hepsi tek yönlü şifrelenmeli.
Proxy sunucu içerisindeki default /server, /transfer, /send gibi komutlar kapatılmalı.
Queue sistemleri detaylıca kontrol edilmeli. Herhangi bir açık varsa kapatılmalı. Özellikle proxy sunucusuna kurulduysa.
HaProxy sistemlerinde another login location açıkları kontrol edilmeli.
Arka arkaya banlama durumlarında ilgili yetkilinin yetkisini silecek sistemler geliştirilmeli.
Pek bilinmeyen webpaneller kullanılmamalı. İçerisinde CRSF/XSS açıkları olabilir.
Makine erişimine sahip yetkililer bilgisayarını korumalı :=.
Linux vb. makinelerde SSH Password yerine key sistemiyle giriş sağlanabilmeli.
Ortakların, yöneticilerin veyahut yetkililerin güvenilirlikleri sorgulanmalı.

Şunlara dikkat eden bir sunucu sahibinin grief yeme olasılığı gerçekten %1 falandır. Üşenmedim aklıma gelen her şeyi yazdım. Umarım bu durum gün geçtikçe azalır. Etrafta sürekli dolaşan botlar var. Tüm hostinglerin subnetlerindeki iplerin hepsinin portlarını tarayıp veri topluyorlar. Eğer minecraft sunucusu tespit ederse bunları veritabanına ekliyor. Sürekli içerideki oyuncuların isimlerini çekiyor motd'den. Sonra böyle tam karanlık kimsenin olmadığı vakitlerde bu hesaplardan giriş yapıyor ve yetki var mı yok mu denemesi yapıyor. Eğer yetki varsa patlatıyor. Bunları bi insan yapmıyor bot yapıyor :). Bu bot açıklardan yararlanarak makine erişimi kazanıyor ve tüm verileri şifreleyip fidye bile oluşturuyor.

Umarım birileri için güzel bilgiler barındıran bi mesaj olmuştur. İyi forumlar herkese.

 

[Scret3_HD]

Velocity zaten bu işe yaramıyormu hocam velocity ayrı bir proxy sunucusuna kurup sayısal ipleri backend sunucusuna yönlendirmek uygun olmazmı senin dediğin altyapı daha çok ddos saldırıları için veya websiteleri çökertecek bir bot saldırısı

not: Minecraft güvenliği hakkında pek bir bilgiye sahip değilim

O işin görevlilerinden birisidir ama çoğu yeni sunucu açan arkadaş tüm sunucuları aynı makineye kurmaya kalkıyor bu da sorun çıkartıyor.

 

[Scret3_HD]

TCPShield'in Türkiye sunucuları yok ping artacağı için kullanmıyorlar, Cloudflare'ın İzmir ve İstanbul da sunucuları var ama Cloudflare Spectrum için kullanıyorlar mi bilmiyorum kullansalar bile Cloudflare Spectrum fiyatı manyak pahalı aylık binlerce dolar vermen gerekir.

Sizde haklısınız daha Türkiye'den makine almaya korkuyoruz yabancı bir makine ve üstüne TCPShield türk oyuncular için hayliyle yük olur, yani sunucu sahipleri eninde sonunda bir şeyden feragat etmesi gerekiyor.

 

[Kronos - Minecraft]

Youtube üzerinde defalarca izledim. Zamanının en baba sunucuları bile çökertilmiş. Ama o zamanın şartlarına göre bence normal gibi şuanda aternos sunucularında bile nadiren çok iyi koruma bilen sw sahipleri bile var.