Атака Skynet на Minecraft-серверы: что происходит и как защититься
В последнее время в сети набирает популярность волна взломов Minecraft-серверов. Злоумышленники, оставляющие за собой сообщение «!!!TERMINATED BY SKYNET!!! Mountains of Lava Inc.», заливают всё лавой и публикуют контакты для жалоб. Разбираемся, что это за атака, что уже известно и как защитить свой сервер.

В чём заключается хак?
Skynet - это не просто отдельный взломщик, а целая сеть автоматизированных ботов, предназначенных для массового гриферства Minecraft-серверов. Их главная цель - находить уязвимые серверы и автоматически их уничтожать, заполняя всё лавой. В интернет-сообществе эту активность связывают с пользователем etianl, также известным как Mountains of Lava Inc. на YouTube.

Действия хакера "Mountains of Lava Inc."
Хакер использует бота Skynet для сканирования серверов в offline-mode, подключается под ником OP-игрока и выполняет разрушение по заранее заготовленному сценарию:

• Заливка лавой: команда /fill ~-64 ~8 ~21 ~-22 ~-8 ~-21 lava - тысячи блоков уничтожаются за раз.
• Изменение правил для хаоса: /gamerule randomTickSpeed 32767 (создание лагов), /gamerule doImmediateRespawn true (мгновенное возрождение), /gamerule difficulty hard (сложный режим).
• Спавн мобов: /summon wither ~ ~ ~ {Invulnerable:1b} для каждого игрока, а также файерболы с мощным взрывом.
• Очистка и спам: очищает scoreboard и добавляет спам-объектив: /scoreboard objectives add spam dummy, после чего заполняет экран игроков сообщениями "TERMINATED BY SKYNET".
• Сокрытие следов: отключает вывод команд и их логирование: /gamerule sendCommandFeedback false, /gamerule logAdminCommands false.
• Финал: ставит знаки с сообщением и email для троллинга.

Весь процесс занимает считанные минуты, после чего сервер падает от перегрузки из-за огромного количества тиков и сущностей.

Почему это происходит?
Злоумышленник узнаёт никнейм администратора - через списки игроков на сайтах-мониторингах, в Discord-сервере, старых видео или просто спросив у игроков. Если сервер пиратский, с выключенным online-mode (false) или без плагина на авторизацию (например, AuthMeReloaded), зайти под ником администратора в его отсутствие не составляет труда.
После взлома на сервере появляются надписи с текстом:
«!!!TERMINATED BY SKYNET!!! Mountains of Lava Inc. Please email any concerns to: molcomplaints@breakblocks.com»

Как это исправить?
Если сервер запущен, в консоли выполните (по возможности):

• /difficulty normal или /difficulty peaceful - уменьшить нагрузку от мобов.
• /gamerule randomTickSpeed 3 (стандартное значение 3) - вернуть нормальный тик.
• Удалите всех лишних сущностей командой (например, /kill @e[type=!player]) или через плагин WorldEdit/т.п., если сервер выдержит.

Все сообщения которые добавляет взломщик хранятся в файле мира: /world/data/scoreboard.dat. Чтобы быстро удалить эти сообщения, достаточно удалить этот файл и перезапустить сервер. Удаление scoreboard.dat не повреждает сам мир и не затрагивает постройки - это никак не влияет даже на физические таблички, установленные игроками.
Однако стоит учесть: если на сервере использовались плагины, задействовавшие Scoreboard (например, McMMO или RPG-системы), их настройки и прогресс могут сброситься. В критической ситуации это допустимая мера.
Важно: после восстановления доступа к серверу обязательно зайдите в файл ops.json или в панель управления и проверьте список операторов (администраторов). Злоумышленник мог добавить в него своих ботов или посторонние ники, чтобы сохранить доступ. Удалите всех, кого вы там не оставляли.

Как это предотвратить?
Чтобы предотвратить подобное в будущем, рекомендуется установить плагин или мод на регистрацию (например, AuthMeReloaded) или включить проверку лицензии online-mode (true) и играть через официальный клиент (лаунчер). Иначе любой игрок сможет зайти на сервер под ником вашего оператора и получить полный контроль над сервером.
Будьте внимательны и защищайте свои серверы. Skynet ищет лёгкие цели - не дайте ему шанса.