Java服務(wù)器MCCrash 新型僵尸網(wǎng)絡(luò)解決辦法/預(yù)防辦法

本教程系本人在嗶哩嗶哩原創(chuàng)發(fā)布，未經(jīng)允許嚴(yán)禁轉(zhuǎn)載！

?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

一、什么是MCCrash 新型僵尸網(wǎng)絡(luò)

?

依據(jù)微軟官方消息→www.microsoft.com/en-us/security/blog/2022/12/15/mccrash-cross-platform-ddos-botnet-targets-private-minecraft-servers/

簡單來說，就是一個(gè)影響內(nèi)核版本為1.7.2——1.18.2的Java服務(wù)器的僵尸網(wǎng)絡(luò)（僵尸網(wǎng)絡(luò)，即bot程序（僵尸程序）病毒，以下簡稱“該病毒”）。

該病毒主要通過下載不明來源的服務(wù)器插件從而感染服務(wù)器內(nèi)的jar文件，當(dāng)然也不排除其他原因所導(dǎo)致感染。

該僵尸網(wǎng)絡(luò)只感染java文件，也就是說，BDS等基巖版服務(wù)器/Java服務(wù)器內(nèi)除了.jar的文件基本不會(huì)被感染，例如服務(wù)器的地圖和插件的部分?jǐn)?shù)據(jù)文件。

?

?

二、如何預(yù)防MCCrash 新型僵尸網(wǎng)絡(luò)感染

?

首先，最直接的辦法是不去下載非官方渠道、可信度低的渠道的文件，不去下載、獲取任何不正規(guī)渠道的插件，因?yàn)檫@些插件最容易被不懷好意的人藏入病毒，無論出于預(yù)防該僵尸網(wǎng)絡(luò)的感染，還是防止其他病毒、木馬的感染，都強(qiáng)烈推薦您從官方渠道正確獲取插件

?

三、如何檢測(cè)插件文件是否被MCCrash 新型僵尸網(wǎng)絡(luò)感染

1.PaperMC官網(wǎng)方法：forums.papermc.io/threads/malware-announcement.529/

以下為總結(jié)轉(zhuǎn)述

①系統(tǒng)自帶的方法：

Linux用戶，你可以在你的插件目錄中運(yùn)行以下命令：

grep -R "plugin-config.bin" .

?

Windows系統(tǒng)用戶，你可以在你的插件目錄中運(yùn)行以下命令：

findstr /sml /c:"plugin-config.bin" *

?

如果匹配項(xiàng)，則可能具有受感染的插件。如果你沒有得到匹配，那你可能沒有被感染

②下載PaperMC官方建議的工具：https://github.com/OpticFusion1/MCAntiMalware，下載該工具前，首先請(qǐng)確保您的服務(wù)器安裝了Java17，否則該文件將無法運(yùn)行。建議您按照其README.md教程進(jìn)行

以下為以Windows系統(tǒng)運(yùn)行總結(jié)的簡要方法：下載好后，請(qǐng)把該文件置于服務(wù)器目錄，然后打開CMD，跳轉(zhuǎn)到服務(wù)器文件夾所在的盤符（例如D盤輸入d:），然后跳轉(zhuǎn)到服務(wù)器文件夾（CMD輸入 cd 服務(wù)器文件夾路徑），輸入

java -jar MCAntiMalware.jar

以運(yùn)行該文件，正確運(yùn)行后，會(huì)出現(xiàn)[INFO]開頭的提示，如果出現(xiàn)?[DETECTED]: plugins\XXX.jar MIGHT be infected with Spigot.MAL，那么您的服務(wù)器可能感染了該僵尸網(wǎng)絡(luò)（當(dāng)然也有可能是誤報(bào)）。

2.通過使用殺毒軟件掃描服務(wù)器文件夾，以及把服務(wù)器文件夾壓縮成zip形式進(jìn)行掃描，如果出現(xiàn)了報(bào)毒，且目標(biāo)為“Updater.class"，那么您的服務(wù)器很可能被該僵尸網(wǎng)絡(luò)感染了

3.安裝知名度較高的zip解壓軟件，或者部分服務(wù)器會(huì)自帶zip解壓軟件，使用右鍵，以打開壓縮包的形式（如圖）

打開服務(wù)器的.jar插件文件，如果其中出現(xiàn)了“Updater.class"，且壓縮前大小為6161，那么您的服務(wù)器很可能受到了該僵尸網(wǎng)絡(luò)的感染，（如圖）

，

也可以通過插件修改日期輔助確認(rèn)：如果您的服務(wù)器已經(jīng)穩(wěn)定運(yùn)行了一段時(shí)間，但服務(wù)器插件在某一時(shí)間集體修改，修改日期一致或相似，那么可以輔助確認(rèn)您可能感染了該僵尸網(wǎng)絡(luò)

值得注意的是，以上的方法都是可能確認(rèn)您的服務(wù)器感染了該僵尸網(wǎng)絡(luò)，并無完全確認(rèn)感染的手段

?

三、感染MCCrash 新型僵尸網(wǎng)絡(luò)的癥狀有哪些？

典型癥狀：打開服務(wù)端報(bào)錯(cuò)內(nèi)容為超時(shí)

java.net.ConnectException: Connection timed out: connect

導(dǎo)致服務(wù)器立即崩潰/每個(gè)插件都加載異常；并且其報(bào)錯(cuò)后綴部分有

at Updater.a(:95)

，

如果癥狀完全符合，并且通過第二點(diǎn)檢測(cè)出了感染的結(jié)果，那么您的服務(wù)器基本可以確認(rèn)已被感染

?

?

四、感染MCCrash 新型僵尸網(wǎng)絡(luò)的危害有哪些？

?

該僵尸網(wǎng)絡(luò)主要使用已知的 DDoS 命令和獨(dú)特的 Minecraft 指令對(duì) Minecraft 服務(wù)器發(fā)起 DDoS 攻擊......使用?env?變量觸發(fā) Log4j 2 庫的調(diào)用

?

也就是說，該僵尸網(wǎng)絡(luò)會(huì)利用你的服務(wù)器資源去DDOS其他Minecraft服務(wù)器，并且還會(huì)使您服務(wù)器插件加載異常/無法啟動(dòng)。

?

五、確認(rèn)感染MCCrash 新型僵尸網(wǎng)絡(luò)，怎么辦？

?

***值得注意的是，如果您想要徹底解決該病毒，您可能至少需要準(zhǔn)備投入1天（12小時(shí)的工作量來算）時(shí)間，因?yàn)槠渲行枰?/span>重裝系統(tǒng)，以及一系列需要耗費(fèi)大量時(shí)間的備份查毒工作，如果您的服務(wù)端文件很大，那么需要的時(shí)間還會(huì)增加！***

?

此僵尸網(wǎng)絡(luò)PaperMC官方有給出解決方法（forums.papermc.io/threads/malware-announcement.529），但是比較省略，為了防止差錯(cuò)導(dǎo)致重復(fù)感染，本方法結(jié)合PaperMC官方給出的方法、官方方法建議使用的MCAntiMalware，詳細(xì)說明如何高效的解決該僵尸網(wǎng)絡(luò)的感染，本方法系本人以及在和大量的服主交流過程中收集的解決該病毒所用的方法的結(jié)合，本方法在不斷完善，不排除有疏漏的可能性，如果您有更好的方法，歡迎友好回復(fù)交流心得！建議您參考官方的公告結(jié)合本方法進(jìn)行查毒殺毒操作。

?

第一步：（必須）關(guān)閉服務(wù)端，（建議做）按照3.1-②的方法下載并正確啟動(dòng)相應(yīng)的工具（以下簡稱工具），這可以使后續(xù)流程快很多。

?

第二步：（建議做）無論如何，都建議您先以壓縮包的形式保存服務(wù)端文件，將壓縮好的服務(wù)端保存到外部（如網(wǎng)盤、空的U盤等），然后刪除本次備份的文件

?

第三步：（必須）如果您的服務(wù)端文件在系統(tǒng)盤，請(qǐng)將其移入非系統(tǒng)盤的磁盤，因?yàn)楹罄m(xù)一定需要重裝系統(tǒng)

?

第四步：（必須）按照正確方法運(yùn)行工具，然后進(jìn)入服務(wù)端目錄的AntiMalware文件夾，點(diǎn)擊logs文件夾，查看latest.log，這里會(huì)記錄您服務(wù)端所有插件的安全情況，找到所有發(fā)現(xiàn)病毒的插件（文件內(nèi)開頭為[DETECTED]的），將它們都徹底刪除，這需要花費(fèi)一定的耐心和時(shí)間

?

第五步：（必須）將他們都刪除后，打開任務(wù)管理器，將所有Java程序停止運(yùn)行（如果您服務(wù)器還運(yùn)行著其他重要的Java代碼/軟件請(qǐng)保存并退出，然后將這些文件都使用殺毒軟件進(jìn)行掃描，確認(rèn)無毒后把他們備份到網(wǎng)盤或空的u盤，如果報(bào)毒且指向Updater.class或類似功能的文件請(qǐng)小心處理，能舍棄的或替換的請(qǐng)把他們都舍棄或替換，并且把它們遠(yuǎn)離該服務(wù)端所在的服務(wù)器），再次使用工具掃描服務(wù)端文件，如果沒有[DETECTED]提示，那么服務(wù)端內(nèi)感染的文件初步清理完畢，如果有，那么請(qǐng)?jiān)俅吻謇硭赶虻奈募?，清理完畢后重?fù)第五步相應(yīng)步驟，直到不再提示有毒為止。

?

第六步：（建議做）備份；保險(xiǎn)起見，請(qǐng)?jiān)俅伟逊?wù)端壓縮備份并且上傳網(wǎng)盤/保存到空的u盤

?

第七步：（必須）重新下載服務(wù)器cache、version文件夾內(nèi)的服務(wù)器核心，（可省略）如果您有確認(rèn)未感染的服務(wù)端備份文件，請(qǐng)將libs和libraries文件夾里的文件替換。

?【記得從官方渠道下載以防帶來不必要的風(fēng)險(xiǎn)！】

第八步：（可省略）如果您還不放心，請(qǐng)使用文件搜索，搜索”jar“，查找最近一個(gè)月內(nèi)被修改的jar文件，如果有備份，將他們換成確認(rèn)無毒的文件。完成后最好再次備份服務(wù)端。

?

第九步：（必須）如果您的服務(wù)端內(nèi)系統(tǒng)所在磁盤有其他重要文件請(qǐng)備份到網(wǎng)盤/u盤，云服務(wù)器可以通過創(chuàng)建快照的方式整體備份系統(tǒng)盤文件，如果您的服務(wù)器有數(shù)據(jù)盤，請(qǐng)將其內(nèi)的所有非服務(wù)端的Java文件（例如.jar）全部備份轉(zhuǎn)移到非服務(wù)器內(nèi)的位置，例如網(wǎng)盤或u盤，防止藏毒再次感染，最好把服務(wù)端存放在沒有其他Java文件且重裝系統(tǒng)不被清理的數(shù)據(jù)盤。

?

第十步：（必須，十分重要）從正規(guī)渠道獲取服務(wù)器系統(tǒng)鏡像，完全重置系統(tǒng)。如果是云服務(wù)器，可以直接選擇重裝系統(tǒng)，但請(qǐng)確保服務(wù)端文件在不被清理的位置，例如可信任的網(wǎng)盤或者數(shù)據(jù)盤。

?【一定要從官方渠道下載以防造成不必要的麻煩！】

第十一步：（必須）按照常規(guī)方法正確配置服務(wù)器基本內(nèi)容（例如防火墻）后，打開數(shù)據(jù)盤（或u盤等存儲(chǔ)位置）的服務(wù)端文件夾，下載知名的殺毒軟件，更新病毒庫，對(duì)系統(tǒng)進(jìn)行全盤掃描，與此同時(shí)下載安裝好服務(wù)器版本的Java以及Jdk17

?

第十二步：（必須）使用工具再次掃描服務(wù)端文件，確認(rèn)服務(wù)器內(nèi)無毒后，備份好服務(wù)端，上傳網(wǎng)盤/u盤備用

?

第十三步：現(xiàn)在基本上可以確認(rèn)服務(wù)端是比較安全的，可以嘗試運(yùn)行服務(wù)器了，如果完全按照所給方法運(yùn)行后仍然出現(xiàn)問題，請(qǐng)上報(bào)該工具（MCAntiMalware）的作者，以防出現(xiàn)病毒變種，根據(jù)PaperMC官方描述，該病毒有”更多變種“。

?

?

本教程系本人原創(chuàng)，以供參考，本人發(fā)布平臺(tái)：苦力怕論壇（Ucraft）、嗶哩嗶哩（非酋的小u）。未經(jīng)允許不得轉(zhuǎn)載。

?