Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

Malware

Malware označuje škodlivý kód provádějící činnost, se kterou uživatel nesouhlasí, nebo by s ní nesouhlasil, kdyby o ní věděl.

Původ malware

Pokud se setkáte s malwarem při tom, co máte na serveru cracklé pluginy, příčina malwaru bude téměř jistě jeden z těchto pluginů. Malware nejčastěji pochází právě z cracklých pluginů.

Ačkoli se může malware vyskytovat i ve standardních pluginech stáhnuté z ověřených stránek, šance, že na nějaký takový narazíte, je naprosto minimální.

Malware se samozřejmě nemusí vyskytovat pouze v pluginech, ale např. i módech (viz zde), nicméně když je řeč o malwaru v kontextu Minecraft serveru, téměř vždy je příčinou malware cracklý plugin.

Pokud pluginy stahujete z ověřených stránek, malwaru se bát nemusíte, ačkoli (minimální) riziko existuje, jako u jakéhokoli jiného software.

Jak přítomnost malware poznat

Dokud/Pokud malware sám o sobě nezačne vykonávat na oko viditelné akce, pravděpodobně jeho přítomnost nezaznamenáte.

Pokud malware generuje síťový provoz, můžete přítomnost malware zjistít právě pomocí jeho pozorování. Pokud si všimnete, že soubory pluginů mají velikosti větší než soubory originální, pravděpodobně máte na serveru malware šířící se do ostatních pluginů (pozor - soubory pluginů můžou být pozměněny díky Paper repamování. Upravené pluginy se nachází ve složce /plugins/.paper-remapped/).

Malware však ani jednu z těchto věcí dělat nemusí. Vždy záleží na tom, jak konkrétní malware funguje. Pokud ani jednu z těchto věcí nezaznamenáte, i tak můžete být malwarem postiženi. Pokud však malware jednu z těchto aktivit generuje, můžete tak jednoduše zjistit, že jste byli infikováni.

Jeden z nástrojů (který je pravděpodobně na použití nejjednodušší), který může v detekování malware pomoci, je MCAntiMalware. 100% spolehlivý ale samozřejmě není a může detekovat legitimní pluginy.

Chování malware

Chování malware může být různé. Je to malware jako jakýkoli jiný, tím pádem vždy záleží na konkrétním malwaru. Může útočit jen na samotný server, ale i celý systém. Z toho důvodu je vhodné mít servery v izolovaném prostředí (kontejnerizované pomocí Dockeru).

Sloužit může např. k vytvoření backdooru (zadních vrátek) k samotnému serveru, ale i celému počítači, nebo sloužit jako botnet.

Dosavadní nejtypičtější chování malwarů bylo takové, že se při spuštění infikovaného pluginu škodlivý kód rozmnožil do všech ostatních pluginů a otevřel útočníkovi zadní vrátka, díky nimž mohl server ovládat a provádět libovolné příkazy. To se jednou projevilo tak, že všechny servery infikované specifickým malwarem byly poškozeny tak, že všichni hráči byli zabanováni a permise zničeny (a těch serverů nebylo málo).

Široce rozšířen byl ale i malware, který útočil na celý počítač, což mohl být problém zejména v případě, kdy jste server hostovali na osobním počítači.

Jak se malware zbavit

Pokud se malware množí do ostatních souborů, je zapotřebí postupovat následovně: V případě, kdy server infikovaný malware běží v izolovaném prostředí, obvykle stačí smazat veškeré spustitelné soubory (zjednodušeně tedy všechny .jar soubor). To zahrnuje pluginy (samotné pluginy, což jsou .jar soubory, nikoli jejich složky s nastavením a daty), knihovny (/libraries/) a server jar.

Pozor! Vždy je zapotřebí smazat všechny soubory najednou a mezitím server nezapínat, jinak se malware při startu opět může rozšířit do ostatních souborů!

Existuje sofistikovanější způsoby, jakými může malware fungovat, avšak v drtivé většině případů by měla tato metoda pro zbavení se šířícího se malwaru stačit.

Pokud prostředí, ve kterém Minecraft server běží, není izolované a malware se dostane do celého systému, je to poněkud větší problém. Chovejte se tak, jako byste měli v počítači jakýkoli jiný malware (ideálně tedy reinstalujte celý systém).

Detekce malwaru antiviry

Vzhledem k povaze malwarů v Minecraft pluginech (a módech) jej “předem” (před spuštěním pluginu) nejsou antivirové nástroje schopny detekovat prakticky nikdy. Proto se na nástroje jako VirusTotal v tomto ohledu absolutně nedá spolehnout. Prakticky všechny malwary, které se objevily, VirusTotal nijak nedetekoval.

Proto jediný spolehlivý způsob, jak zjistit, zda plugin malware obsahuje, je jeho dekompilování a pročtení zdrojového kódu (pokud to lze). Čtenář tohoto kódu mu logicky musí dostatečně rozumět, aby bylschopen posoudit, zda kód obsahuje potenciálně škodlivé části.