今日の4時頃、「PaperMC」というサイトからある発表がされました。
本文は海外の為日本に翻訳して一部難しい表記をわかりやすくして記載します。
※ただし翻訳を使用しているため一部違う可能性があります
動画にまとめましたのでこちらをご覧ください。
格安で使いやすくおすすめなゲームサーバーです
性能 値段の安さ No.1 ワンクリックでゲームサーバー建てるなら AGAMES-ゲームサーバー- 月額2480円から使える!(最安) クーポンコード:yululiを使うと5%OFF! 専用コントロールパネル/DDoS対策が標準搭載 RUSTサーバーなどのゲームサーバーが3分! 決済方法が豊富 \ 詳しくは下から!/ \ 購入は下から!/ |
PaperMCから発表された内容
We’ve seen a lot of reports of a new malware going around Minecraft servers. It seems to be spread by compromised Spigot plugin-author accounts, and is somewhat difficult to detect. We do know that the following exception is caused by it:
PaperMC(https://forums.papermc.io/threads/malware-announcement.529/)
「java.net.NoRouteToHostException: No route to host」
翻訳: マイクラのサーバーに新しいマルウェアが見つかりました。それは、Spigotプラグイン作成者(Pluginなどを作る人)から拡散されていて(乗っ取りや悪意があるアカウント)マルウェアはプラグインやMODからの検出が難しいです。
ただし、こういうエラーが出ることが分かっています。
「java.net.NoRouteToHostException: No route to host」
If you see this in your logs, that server is most likely infected. There are other indicators too – the compromised JAR will have inside of it a file called plugin-config.bin. We do have a one-liner for searching for this in your plugin directories, if you’re on a Linux system:
PaperMC(https://forums.papermc.io/threads/malware-announcement.529/)
「grep -R “plugin-config.bin” .」
If you’re on a Windows system you can run this command in your plugins directory:
「findstr /sml /c:”plugin-config.bin” *」
翻訳: ログファイル(通常は:ファイル名/logs/latest.log)にエラーが表示された場合、サーバーは感染している可能性ある。他にも感染したJar内部には、「plugin-config.bin」というファイルが含まれていて、これはPCの機能を使って調べることができます。
「grep -R “plugin-config.bin” .」 と。
※検索コマンドに関してなんですが、こちらが良いかもしれません。
Linux(例:Ubuntu,Centos): grep -R "plugin-config.bin" /
で検索すると、全ファイル検索されます。時間はかかりますが…(ただし、僕の場合ですので、もしかしたら非推奨かもです。)
Run the above while in your server or plugin directory, and if you get a match, you likely have an infected plugin. If you do not get a match, that is a good thing – you are likely not infected.
PaperMC(https://forums.papermc.io/threads/malware-announcement.529/)
@Optic_Fusion1 ‘s AntiMalware tool on https://github.com/OpticFusion1/MCAntiMalware has caught onto this malware about a month ago already and catches more variants of it. We highly suggest users run this tool as it contains checks for a lot more malware sources. If this tool reports any malware found, be sure to double check whether it’s a false positive or not (known example: ForceOP check falsely triggers on a handful of plugins because of how it’s used in plugins).
翻訳: サーバー/プラグインのある場所で上記を実行し、一致する場合は、感染している可能性があります。一致しなければ感染していないかもしれません。
このサイトから、マルウェアをチェックできるソフトをダウンロードできます。https://github.com/OpticFusion1/MCAntiMalware
これは、約1か月前に、マルウェアを検出しており、多くの亜種が発見されている。このツールを使うと、200種類以上のマルウェアソースを検出することができ、実行することを強くお勧めします。
このツールで、マルウェアが見つかったら誤検知の可能性もあるので、再確認をしてください。
(例: 少数のプラグインは、使用方法が原因で誤って誤検知(ForceOPとして)する場合があります。」
再確認して、一致や感染が分かった場合、マルウェアは他のJarにも拡散するため、全てのJarファイルを削除して再ダウンロードしてください。
また、パソコンOSにマイクラ以外のシステムをダウンロードやインストールを行う事が分かっているため、パソコンOSを再インストールする必要があります。
しなければ、マルウェアは残ります。ですので再インストールし直してください!
If you frequently download plugins from third-party sources e.g. SpigotMC, it’s not a bad idea to do routine checks with this tool e.g. once a month or so. Remember to only download reputable plugins from reputable sources & authors.
Keep an eye out, and thanks.
PaperMC(https://forums.papermc.io/threads/malware-announcement.529/)
翻訳: SpigotMCなどのプラグインダウンロードサイトからプラグインをダウンロードする場合、このツールを使用して定期的にチェックしたほうが良いです!(月に1回程度)
信頼出来る開発者/場所からダウンロードすることを忘れないでね!
気を付けてね!ありがとう!
筆者の意見
筆者もコマンドを使用し確認を行いましたが無事でした。今回のマルウェアに感染する人は以下のようなサイトを使っている人がなりやすいかと思います。
1. DMCA完全違反なサイト(Pluginの2次配布や、有料プラグインを無償でダウンロードできる等)
2. 知人からプラグイン/MODをもらう
3. 偽サイト(例: Spigotnc.org などの、一部のドメインの場所を変更など)
です。
この様なサイトに注意していれば、まずかかりにくいとは思います。
で、一応SpigotMCに配布されている上位ダウンロードされているPlugin等はチェックしましたが、現在はマルウェアは入っておりませんでした。が、今後はいる可能性も0とは言い切れないので、チェックツールなどを使って注意を払っていきたいと思います。
まとめ
今回は「PaperMC」が発表した事について触れていきました。
簡潔に内容をまとめると
1. Plugin/Modからマルウェアが見つかった。
2. 万が一一致する場合は、全Jarを削除 か パソコンのOSを再インストール(推奨)
3. 1か月に1回程度はチェックが必要
ということでした。皆さんもお気を付けください。