Rehber Son zamanlarda yapılan sunucu saldırılarının nedeni ve çözümü

Son zamanlarda saldırıya uğrayan bir çok Türk Minecraft sunucusu oldu ve bu sunucuların pluginleri, verileri satılmaya başlandı. Bir sürü sunucunun saldırıya uğraması ardından bu kişileri ve kullandıkları yöntemleri araştırdık. Öncelikle bu grief atan arkadaşların birçok discord sunucusu var, hepsinin toplandığı ana Discord sunucusuna gittiğimizde ise hepsinin discord hesapları vb. şeylere ulaşabiliyorsunuz. Bu kişilerin kullandığı yöntemlerde öyle hiç görülmemiş bilinmeyen şeylerde değil, çok basit ve kolay şeyler deniyorlar. Şimdi gelelim sunuculara saldırırken kullandıkları yöntemlere:

---

Yöntem 1: Test sunucusu üzerinden saldırı
Saldırı yapan kişiler şu anda Türk sunucularına yoğunlaşmış durumda bunun sebebi son zamanlarda saldırdıkları sunuculardan topladıkları ilgi. Türk sunucularını tarıyorlar ve açık olan test sunucularınıza giriyorlar. Test sunucularınızda Plugman yüklü ve plugin indirme ayarı açık ise sunucunuza zararlı plugin indirip makinenize erişim sağlıyorlar, yada Luckperms gibi izin eklentileri MYSQL ile tüm sunucularınıza bağlı ise test sunucunuzdaki Luckpermsten * izni aldıklarında diğer sunucularınıza da gidiyor. İşte saldırdıkları bir sunucudan alınan konsol çıktıları:




Çözümü:
Test sunucularınızı mutlaka whitelist, auth, velocity gibi yöntemlerle koruyun. Bunları kullanmıyorsanız bile test sunucunuzla ana sunucunuzun aynı makinede olmadığına dikkat edin. Aynı zamanda OP hesabınızda ve tüm yetkililerinizin hesaplarının PIN gibi korumalar ile korunduğundan emin olun! Eğer böyle bir eklenti ihtiyacınız var ise yeni çıkartacağımız bu tarz yöntemlerin çoğunu özel olarak engelleyen eklentimizi inceleyebilirsiniz! !

---

Yöntem 2: Yetkilileri kullanarak saldırı
Araştırmalarımız sonucunda bu kişilerin sunucu yetkililerinize zararlı yazılım atarak onların hesaplarını ele geçirdiğini öğrendik. Yetkililerinizin hesaplarına girerek sunucunuza kolayca saldırabiliyorlar. Saldırıya uğramış bazı yabancı sunucu sahiplerinin yetkililerine belirli bir miktar ücret teklif edilerek hesaplarını "Çalınmış" gibi göstermelerinin sağlandığı yada sunucuların yetkili alımlarına katılarak sunuculara sızdıkları bilgisine de ulaştık. Türkiye'de bu yöntemi kullandıklarına dair elimizde bir kanıt yok ama yabancı sunucularda bu tarz yöntemler kullanmışlar.

Çözümü:
Yetkililerinizi her zaman zararlı yazılımlara karşı dikkat etmeleri için uyarın ve yetkili aldığınız kişileri iyice araştırın. Yetkilinizde olsa sunucuya zarar verebileceği hiçbir izin vermeyin (OP, Luckperms erişimi vb.)

---

Yöntem 3: Anti-Bot korumalarını geçebilen botlar
Bu kişilerin discord sunucularından elde ettiğimiz bilgilere göre grief yönüyle saldıramadıkları sunuculara anti-bot korumalarını geçebilen botlar ile saldırdıklarını öğrendik. Bu botlar her türlü captcha, fallcheck gibi korumaları geçebiliyor. Peki bu nasıl oluyor? Map captchalar için botlar ellerine gelen captchayı yapay zeka ile çözüyorlar, eğer captcha çözülemiyorsa captchanın resmi saldırgana gidiyor saldırgan tüm botların captchalarını eliyle çözüyor ve böylece bütün botlar sunucunuza girmiş oluyor, fall check gibi korumaları ise botlara gerekli paketleri gönderttirerek rahatça geçebiliyorlar. VPN korumalarını ise internet üzerinden residental proxy satın alarak geçebilliyorlar.

Çözümü:
Sunucunuza kayıt olan oyuncuların email doğrulaması yapmasını zorunlu hale getirirseniz saldırgan tüm botları tek tek email kullanarak doğrulayamayacağı için saldırı başarısız olacaktır. Böyle bir koruma için kendi yaptığımız bir eklentiyi önermek istiyorum, aynı zamanda bu eklenti herhangi bir veri sızıntısı durumunda oyuncularınızın şifrelerini en güçlü şifreleme yöntemi ile şifrelediğinden şifrelerin bulunmasını çok zorlaştıracaktır. Eklenti özelliklerini incelemek için bu mesajın üstüne tıklayabilirsiniz.

Araştırmaların ve vakit ayırıp sunucu sahiplerini bilgilendirdiğin için teşekkür ederiz @adabugra.

Emekleriniz ve değerli vakitiniz için kendi adıma teşekkür ederim. Bir çok kişinin emeklerini kurtarabilecek bir rehber olmuş.

Ekleme yapayım PlaceholderAPI Javascript Extension 2.1.0 sürümü ve altını kullanmayınız, /jsexp komutları ile bash komutları kullanabilirler.

Belirlediğiniz komutlar harici komutların admin şifresi olmadan çalışmadığı "op olsa dahi" bir kaç eklenti var. Türk yapımcısı olan KCommandNegater kullanıyorum mis gibi. Problem yaşanmıştı vulcanda ama bu tarz komut bazlı şeyleri yapamıyorlar. Aşırı leak yoksa pluginde problem yaşamazsınız. Admin şifresi ile işlem yaptıran "tüm oyuncuları belirli komutlar harici kısıtlayan eklentiler" kullanın.