Malware in einigen Spigot Plugins

Aktuell findet man in einigen Spigot Plugins Malware. Diese wird durch gehackte Accounts von Plugin Authoren verbreitet.

Wie erkenne ich, ob mein Server infiziert wurde?

Einen infizierten Server erkennst du an folgenden Dingen:

• In der Konsole erscheinen "java.net.NoRouteToHostException: No route to host" Fehler.
• Nach einem Neustart des Servers dauert das Laden der Plugins ungewöhnlich lange oder der Server stürzt währenddessen ab.
• In einer Jar Datei ist eine "plugin-config.bin" Datei enthalten.

Was mache ich, wenn mein Server infiziert ist?

Schalte deinen Server sofort aus. Lösche alle Jar Dateien, da die Malware sich auf andere Jar Dateien ausbreiten kann. Installiere nun Deinen Server über den "Reinstall Server" Button im "Settings" Tab neu. Wenn Du eine eigene Server Jar Datei verwendest stelle sicher, dass Du diese von einer offiziellen und seriösen Seite herunterlädst. Bevor Du dann wieder Plugins installierst, stelle sicher, dass die jeweilige Plugin Jar-Datei nicht infiziert ist.
Du kannst Jar Dateien über Online Viren Checker wie Virustotal auf die Malware überprüfen lassen. Wenn die Jar Datei eine "plugin-config.bin" enthält kannst Du davon ausgehen, dass die Datei infiziert ist.

Mehr Informationen findest Du in dieser (englischen) Paper Ankündigung.

Erstelle gerne ein Support Ticket, falls Du Dir unsicher bist, ob Dein Server infiziert ist, oder wenn Du Fragen hast!