Rehber Velocity Sunucularda "/server" Komutu ile Şifresiz Giriş Açığını Kapatma!

vProject · 11 Mart 2026

Merhaba MC-TR üyeleri,

Bugün sizlere, özellikle Velocity ve BungeeCord tabanlı ağ sunucularının (Network) başına bela olan, yetkisiz kişilerin /server <sunucu_adı> komutunu kullanarak AuthMe (giriş) aşamasını atlatıp doğrudan oyun sunucularına bağlanabildiği kritik bir güvenlik açığından ve çözümünden bahsedeceğim.

Sorun Nedir? Neden Tehlikeli?

Bazı proxy yapılandırmalarında oyuncular, giriş yapmadan önce bile /server komutunu kullanabiliyorlar. Bu durum, kötü niyetli bir kişinin lobi sunucusunda şifre girmeden /server survival yazarak doğrudan oyun dünyasına ışınlanmasına ve başkasının hesabı üzerinden (Adminler dahil!) sunucunuza erişmesine neden olur.

Kesin Çözüm: CommandDefender

Bu açığı kapatmanın en hafif ve etkili yollarından biri CommandDefender eklentisidir. Bu eklenti sayesinde giriş yapmamış veya yetkisi olmayan oyuncuların belirli komutları (özellikle proxy komutlarını) kullanmasını tamamen engelleyebilirsiniz.

Nasıl Kurulur?

Eklentiyi

Değerli ziyaretçimiz, içeriği görebilmek için şimdi giriş yapın veya kayıt olun.

üzerinden indirin.
Eklentiyi Çakma Lobi veya Auth lobiniz hangi sunucu ise o sunucunuzun plugins klasörüne atın.
Sunucuyu yeniden başlatın veya eklentiyi yükleyin.
Aşağıda verdiğim yapılandırma dosyasını (config) ve (messages.yml) size verdiğim şekilde güncelleyiniz.
Eklenti config ve mesaj dosyasını güncelledikten sonra tekrar sunucunuzu yeniden başlatın.

Umarım bu paylaşım sunucunuzun güvenliğini sağlamanıza yardımcı olur. Sorularınız veya takıldığınız bir yer olursa konu altından sormaktan çekinmeyin!

İyi forumlar dilerim.

YAML:

# Welcome to CommandDefender's settings.yml file - this is the main configuration where you can change a lot
# of settings to make CommandDefender best suit your server's requirements. Please, read the wiki before
# editing this file (linked below). Thank you!
#
# ----------------------------------------------------------------
# Read the Wiki -> https://github.com/lokka30/CommandDefender/wiki
# ----------------------------------------------------------------

# Create a list of allowed/denied commands ordered by priority (1 = highest).
# Please check the Wiki on how to use this if you are not already familiar. The Wiki URL is linked at the top.
priorities:

  # Setting this to 'false' disables CommandDefender from checking the lists below and thus will not block any commands
  # with exception of the 'block-colons' setting below and also the permissions to block commands which can also be
  # toggled below, see 'enable-allow-deny-permissions'.
  enable-command-blocking: true

  # Setting this to 'false' makes CommandDefender not filter through the command suggestions system in 1.13+ servers.
  # For 1.7-1.12 servers this option does not do anything because 1.13 added such system.
  #
  # Note, that if you have 'block-colons' enabled, CommandDefender will still remove '/<plugin>:<command>'-type
  # suggestions, thus overriding this setting for that type of command suggestion.
  enable-command-suggestion-filtering: true

  1:
    mode: DENY

    list:
      # Bukkit-provided commands that are able to display installed plugins.
      - '/plugins'
      - '/pl'
      - '/version'
      - '/ver'
      - '/icanhasbukkit'
      - '/about'
      - '/?'
      - '/help'

      # Other commands you may want blocked.
      - '/ehelp'
      - '/server'
      - '/glist'
      - '/send'
      - '/velocity'
  # Please do edit/remove this list, as it is only provided by CommandDefender as an example for the argument handling system.
  2:
    mode: DENY

    list:
      - '/abc 123'
      - '/def 456 789'
      - '/example1 *'
      - '/example2'

    deny-message:
      - '%prefix% This is an example deny message which overrides the one set in messages.yml specifically for this list.'

  # If a command is not allowed/blocked in the priorities above, should the command be allowed (ALLOW) or denied (DENY)?
  unlisted: ALLOW

# You can toggle whether CommandDefender checks if the user has a 'force-allow' or 'force-deny'
# permission for each command your users run here.
# Note that these permissions allow/deny only function on the command, not the arguments. e.g. you can only allow/deny
# '/island' with these permissions, you can't block individual arguments such as '/island home'. Note that each prioritised
# list can have a bypass permission though.
enable-allow-deny-permissions: true

# Block colons (:) in the first argument of commands? e.g. block /bukkit:plugins
block-colons: true

# Run the update checker on startup?
# Asynchronous (doesn't halt your server startup), will check once, and only send one warning message if an update is found.
check-for-updates: true

# Do not touch this value unless you are fully aware with what you are doing!
file-version: 2

YAML:

# Welcome to CommandDefender's second configuration file - messages.yml! Here, you can customise almost every
# chat message sent by the plugin with color code support, multi-line support and placeholders!
# Note: %placeholders% are case-sensitive. Please keep them in the same case that they were originally.

cancelled-blocked:
  -

cancelled-colon:
  - '%prefix% You are not allowed to use the colon character &8(&b:&8) &7in the first argument of your commands.'

command:
  main:
    - '%prefix% Available commands:'
    - '&8 &m->&b /%label% reload &8- &7reload config files'
    - '&8 &m->&b /%label% info &8- &7view info about the plugin'

  no-permission:
    - '%prefix% You don''t have access to that.'

  reload:
    start:
      - '%prefix% Reload started ...'

    complete:
      - '%prefix% ... Reload complete.'

  info:
    - ' '
    - '&b&lCommandDefender&b v%version%'
    - ' '
    - '&7Authors: &f%authors%'
    - '&7Description: &f%description%'
    - '&7Contributors: &f%contributors%&7.'
    - ' '

  usage:
    - '%prefix% Usage: &b/%label% [reload/info]'

  joiner: '&7, &f'

prefix: '&b&lCommandDefender:&7'

# Do not touch this value unless you are fully aware with what you are doing!
file-version: 2

Rangna13 · 12 Mart 2026

login sistemi lobide olan tüm sunucuların dikket etmesi lazım genelde velocity auth sistemli sunucularda server komutu çalışmaz

benjamin17 · 12 Mart 2026

Velocity tarafında "modern" giriş seçeneğinde(Palet ve alt tüm velocity destekli formlarda) server komudu çalışmaz. Konuda belirtilen durum velocity de bulunan legacy ve diğer giriş yöntemleri için geçerli(spigot vb kullanıyorsanız yani.) Bunu engellemek için konudaki yöntemi tercih edebilirsiniz.

Ekstradan bungeecord kullananlar için bu açık mevcut. Bungeecord sunucularında daha çok authme kullanılıyor bu sorunu engellemek için ise konuda ki yöntem veya daha etkili olarak bungeecord configinden server yazma iznini çekmek. Authme otomatik yönlendirmesi oyun moduna atmak. Eğer birden fazla oyun modu var ise her sunucuya mycommand plugini kurarak /server sunucu komudu mantığını eklemek.

Not: Velocity de bulunan modern giriş yöntemi hariç hiçbir farklı proxy türü ve giriş yöntemi önermem. Bungeecord ve formu olan waterfall ve velocity diğer giriş yöntemlerinde port açıkları bulunmakta. Bu durumu engellemek için en sağlam çözüm Windows güvenlik duvarından portları kapatmak olacaktır. Sadece kullandığınız portları açık tutmanız daha sağlıklı olur(sunucu ana default portu 25565 dir) bunun harici olarakra ipwhitelist veya preventportbypass gibi proxy/sunucu türünüze uygun pluginler ile girişleri bir tık daha sağlama alabilirsiniz ancak bu koruma çoğu zaman yeterli olmayabilir. Bu yüzden önerim velocity modern giriş kullanmanızdır.

Not2: Velocity modern giriş yöntemi sadece paper ve forklarında çalışmaktadır. Spigot-purpur vb pluginler hepsini paper da sorunsuz kullanabilirsiniz.

Anemys · 12 Mart 2026

konu gerçekten de yararı, bu saçma ve dikkat edilmeyen sorun yüzünden baya bi sunucu patlatıldı... hem komik hem de üzücü, asıl komik olan şey ise yapan kişinin kendini profesyonel bir hacker / eski anonim ekibi üyesi ya da ayyıldız team başkanı falan zannediyor olması ama loglara bakınca, sunucunun op hesabı ile girip /server hub1 yazması falan... ah

konuda verdiğin eklentinin kaynak kodunu inceledim, proxy tarafından müdahale yok ya da paket kullanılmamış... düz bukkit eventi var, 1-2 video izlesen yaparsın yani.

şimdi proxy komutlarını sunucu tarafından engelleyemezsin, bunun için proxy eklentileri ya da varsa proxy'nin yapılandırması kullanılmalı.

bungee:

Değerli ziyaretçimiz, içeriği görebilmek için şimdi giriş yapın veya kayıt olun.

velo:

Değerli ziyaretçimiz, içeriği görebilmek için şimdi giriş yapın veya kayıt olun.

engellenememesinin sebebi farklı şekilde çalışıyor olması. belki complete paketi iptal edilebilir ama hala arkada olacaktır.

iyi forumlar <3

edit: ooo batin janim :3

benjamin17' Alıntı:
bla bla bla

vProject · 12 Mart 2026

Rangna13' Alıntı:
login sistemi lobide olan tüm sunucuların dikket etmesi lazım genelde velocity auth sistemli sunucularda server komutu çalışmaz

Çakma lobi için bahsediliyor hocam artık yeni nesil isimlere geçtikleri için o şekilde yazdım giriş yapmadan direk sunucuda istediği kişinin hesabına giriş yapılıyor maalesef.

benjamin17' Alıntı:
Velocity tarafında "modern" giriş seçeneğinde(Palet ve alt tüm velocity destekli formlarda) server komudu çalışmaz. Konuda belirtilen durum velocity de bulunan legacy ve diğer giriş yöntemleri için geçerli(spigot vb kullanıyorsanız yani.) Bunu engellemek için konudaki yöntemi tercih edebilirsiniz.

Ekstradan bungeecord kullananlar için bu açık mevcut. Bungeecord sunucularında daha çok authme kullanılıyor bu sorunu engellemek için ise konuda ki yöntem veya daha etkili olarak bungeecord configinden server yazma iznini çekmek. Authme otomatik yönlendirmesi oyun moduna atmak. Eğer birden fazla oyun modu var ise her sunucuya mycommand plugini kurarak /server sunucu komudu mantığını eklemek.

Not: Velocity de bulunan modern giriş yöntemi hariç hiçbir farklı proxy türü ve giriş yöntemi önermem. Bungeecord ve formu olan waterfall ve velocity diğer giriş yöntemlerinde port açıkları bulunmakta. Bu durumu engellemek için en sağlam çözüm Windows güvenlik duvarından portları kapatmak olacaktır. Sadece kullandığınız portları açık tutmanız daha sağlıklı olur(sunucu ana default portu 25565 dir) bunun harici olarakra ipwhitelist veya preventportbypass gibi proxy/sunucu türünüze uygun pluginler ile girişleri bir tık daha sağlama alabilirsiniz ancak bu koruma çoğu zaman yeterli olmayabilir. Bu yüzden önerim velocity modern giriş kullanmanızdır.

Not2: Velocity modern giriş yöntemi sadece palet ve forklarında çalışmaktadır. Spigot-purpur vb pluginler hepsini paper da sorunsuz kullanabilirsiniz.

Elinize sağlık ama bazen bir şekilde bu komut tekrar aktif oluyor başıma geldiği için bu konuyu açmak istedim.

Anemys' Alıntı:
konu gerçekten de yararı, bu saçma ve dikkat edilmeyen sorun yüzünden baya bi sunucu patlatıldı... hem komik hem de üzücü, asıl komik olan şey ise yapan kişinin kendini profesyonel bir hacker / eski anonim ekibi üyesi ya da ayyıldız team başkanı falan zannediyor olması ama loglara bakınca, sunucunun op hesabı ile girip /server hub1 yazması falan... ah

konuda verdiğin eklentinin kaynak kodunu inceledim, proxy tarafından müdahale yok ya da paket kullanılmamış... düz bukkit eventi var, 1-2 video izlesen yaparsın yani.

şimdi proxy komutlarını sunucu tarafından engelleyemezsin, bunun için proxy eklentileri ya da varsa proxy'nin yapılandırması kullanılmalı.

bungee:

Değerli ziyaretçimiz, içeriği görebilmek için şimdi giriş yapın veya kayıt olun.

velo:

Değerli ziyaretçimiz, içeriği görebilmek için şimdi giriş yapın veya kayıt olun.

engellenememesinin sebebi farklı şekilde çalışıyor olması. belki complete paketi iptal edilebilir ama hala arkada olacaktır.

iyi forumlar <3

edit: ooo batin janim :3

İsminide bilerek açık bıraktım aslında da şimdi gereksiz ceza puanı yemek istemiyorum bu da o kişilerden biri :D

teknolojitamirci · 11 Nisan 2026

Bu açıktan benimde başka arkadaşlarımın da sunucuları bir çok defa patladı. Bunu her sunucu öğrenmeli bence.

ILoveMaju^^ · 11 Nisan 2026

Elinize sağlık yararlı rehber olmuuș dikkat etmekte fayda vaar

vProject · 11 Nisan 2026

teknolojitamirci' Alıntı:
Bu açıktan benimde başka arkadaşlarımın da sunucuları bir çok defa patladı. Bunu her sunucu öğrenmeli bence.

Maalesef bunu yaşamış biri olarak sizleri çok iyi anlıyorum :slightly:

ILoveMaju^^' Alıntı:
Elinize sağlık yararlı rehber olmuuș dikkat etmekte fayda vaar

Teşekkür ederim.

VANDELORE · Salı saat 19:51'de

İşte bu konu benim hayatımı değiştirmedi çünkü biliyordum... Güzel konu olmuş böyle konuların devamı gelmesi dileyiğle.

Rehber Velocity Sunucularda "/server" Komutu ile Şifresiz Giriş Açığını Kapatma!

vProject

Bir Kömür Göründü Kaptanım!

Sorun Nedir? Neden Tehlikeli?

Kesin Çözüm: CommandDefender

Nasıl Kurulur?

Rangna13

Demir Cevheri Gibiyim

benjamin17

Loading ◌

Anemys

Java & Skript

vProject

Bir Kömür Göründü Kaptanım!

teknolojitamirci

Yay Yok, İskelet Yok

ILoveMaju^^

Her Bahar Aşık Olurum Rüzgar Olur Yağmur Olurum

vProject

Bir Kömür Göründü Kaptanım!

VANDELORE

Zombi Geldi, Beni Yedi

Rehber Velocity Sunucularda "/server" Komutu ile Şifresiz Giriş Açığını Kapatma!

Bir Kömür Göründü Kaptanım!

Discord:

Sorun Nedir? Neden Tehlikeli?​

Kesin Çözüm: CommandDefender​

Nasıl Kurulur?​

Demir Cevheri Gibiyim

Discord:

Loading ◌

Discord:

Java & Skript

Discord:

Bir Kömür Göründü Kaptanım!

Discord:

Yay Yok, İskelet Yok

Discord:

Her Bahar Aşık Olurum Rüzgar Olur Yağmur Olurum

Discord:

Bir Kömür Göründü Kaptanım!

Discord:

Zombi Geldi, Beni Yedi

Discord:

Hala Discord sunucumuza katılmadın mı?

Sorun Nedir? Neden Tehlikeli?

Kesin Çözüm: CommandDefender

Nasıl Kurulur?