Powrót do bloga
Podatnosci serwerow Minecraft w 2026: analiza CVE i utwardzanie

Podatnosci serwerow Minecraft w 2026: analiza CVE i utwardzanie

Serwer Minecraft, jak kazdy sieciowy program Java, od czasu do czasu otrzymuje podatnosci. Niektore sa drobne i wymagaja nietypowych warunkow do wykorzystania. Inne w swoim czasie sparalizowaly caly segment branzy. Dla admina liczy sie nie wykucie na pamiec numerow CVE, ale zrozumienie klas podatnosci i umiejetnosc szybkiego audytu wlasnego serwera pod katem typowych problemow.

W tym artykule przejdziemy glowne klasy podatnosci istotne dla serwerow Minecraft w 2026 roku. Pokazemy jak sprawdzic, czy twoj serwer jest chroniony, i co robic, gdy w logach pojawiaja sie podejrzane wpisy. Bez instrukcji eksploatacji - tylko obrona.

O formacie artykulu

Podatnosci w serwerach Minecraft publikuje sie nie tylko przez klasyczne CVE, ale takze przez GitHub Security Advisories (GHSA) - szczegolnie czesto u Paper i Velocity. Bedziemy wymieniac numery CVE tam gdzie istnieja na pewno, i mowic o klasie lub advisory tam gdzie numer nie ma znaczenia.

W artykule nie bedzie zadnych konkretnych payloadow, komend eksploatacji ani kodu PoC. Tylko opis klasy ataku, wersje w ktorych luka jest zalatana, i sposoby na samodzielna weryfikacje wlasnego serwera.

Klasa 1: Zdalne wykonanie kodu przez logi (Log4Shell)

Najslynniejsza podatnosc ekosystemu Minecraft. Zarejestrowana jako CVE-2021-44228.

Co sie stalo. W grudniu 2021 odkryto, ze biblioteka Apache Log4j 2.x, ktorej Minecraft uzywa do logowania, pozwalala podstawiac wyrazenia w wiadomosciach. Jedno z wyrazen zmuszalo Log4j do pobrania i wykonania klasy Java ze zdalnego serwera. Dowolny ciag trafiajacy do logu mogl stac sie wektorem ataku. A do logow Minecrafta trafia dosl ownie wszystko: wiadomosci czatu, nicki, komendy, nazwy przedmiotow.

Skala. Dotknelo wszystkich: serwerow vanilla, Paper, Spigot, BungeeCord, klientow, launcherow. Mojang wypuscil pilny patch 1.18.1 i hotfix JAR dla wszystkich wspieranych wersji. Paper i inne forki wydaly swoje aktualizacje tego samego dnia.

Status w 2026. Podatnosc calkowicie zalatana we wszystkich aktualnych wersjach. Log4j 2.17.0+ nie jest podatny. Ale ostroznosc jest nadal potrzebna: jesli trzymasz stary serwer na 1.17.x lub 1.18.0 bez hotfixu - nadal jestes podatny.

Jak sprawdzic swoj serwer.

# Ustal wersje Log4j w server.jar
unzip -p server.jar META-INF/maven/org.apache.logging.log4j/log4j-core/pom.properties
# lub znajdz plik log4j-core
find . -name "log4j-core*.jar"

Jesli widzisz wersje ponizej 2.17.0 - aktualizuj pilnie. Dla Paper/Purpur/Folia po prostu pobierz najnowszy build dla swojej wersji MC. Dla serwera vanilla - zastap aktualnym jar z minecraft.net.

Jak zauwazyc probe eksploatacji. W logach pojawiaja sie nienormalnie dlugie wiadomosci z nietypowymi znakami w nawiasach (zazwyczaj w czatach, nickach, opisach przedmiotow). Wzorzec: cos przypominajacego URL lub komende w nawiasach klamrowych ze znakiem dolara. Kazda taka wiadomosc to czerwona flaga.

Klasa 2: Packet DoS - crash serwera przez specjalny pakiet

Duza klasa podatnosci, gdzie jeden specjalnie spreparowany pakiet Minecraft albo zawiesza serwer, albo powoduje pochlaniajace nienormalnie duzo zasobow przetwarzanie. Zwykle zamykane przez Paper Security Advisories (numery GHSA), rzadziej przez CVE.

Co sie dzialo. Na przestrzeni lat Paper zamknal podatnosci tej klasy: rozbijanie pakietow chunk powodowalo wyciek pamieci, nietypowe pakiety spawn encji zwalaly serwer, okreslone kombinacje akcji inventory powodowaly zapetlenia. Publikacje ida przez GitHub PaperMC ze szczegolami, ktora wersja jest dotknieta.

Dlaczego to trudno bronic. Kazda nowa klasa pakietow-exploitow wymaga osobnego fixa. Serwer vanilla od Mojang historycznie nie waliduje pakietow tak scisle jak Paper. Dlatego do produkcji zawsze polecamy Paper lub Purpur, a nie vanilla jar.

Status w 2026. Paper wydaje aktualizacje regularnie - czesto tego samego dnia, gdy podatnosc sie pojawi. Glowna obrona to trzymanie serwera na aktualnym buildzie.

Jak sprawdzic swoja instalacje.

# W konsoli serwera
version

# Na Paperze zobaczysz cos w stylu
# This server is running Paper version git-Paper-xxx (MC: 1.21.4) (Implementing API version 1.21.4-R0.1-SNAPSHOT)

Wejdz na Paper Downloads i porownaj numer buildu. Jesli twoj jest o kilka wersji starszy - pora aktualizowac. Paper utrzymuje zgodnosc API, aktualizacja zwykle idzie gladko.

Jak zauwazyc probe eksploatacji. Wzorce w logach:

  • IOException: Invalid packet ID
  • Packet too large: X bytes
  • nietypowe stacktrace w latest.log od NetworkManager lub ServerGamePacketListenerImpl
  • ostre skoki uzycia heap bez widocznej przyczyny gameplayowej

Wlacz watchdog z niskim early-warning (w paper-global.yml), zeby przy zawieszeniu serwer sam zapisywal pelny thread dump do logu.

Klasa 3: Obejscie forwarding proxy (klasa BungeeCord legacy)

Jesli masz siec proxy na BungeeCord lub Velocity, musisz rozumiec klase podatnosci zwiazana z przekazywaniem informacji o kliencie do backendu.

Co sie dzialo. Klasyczny BungeeCord domyslnie przekazywal informacje o kliencie (IP, UUID, nazwa) do serwera backendu przez specjalne rozszerzenie pakietu handshake. Problem byl taki, ze backend w zaden sposob nie weryfikowal prawdziwosci tej informacji. Jesli ktos mogl polaczyc sie z backendem bezposrednio (z pominieciem proxy), mogl podrobic dowolny UUID i dostac sie na serwer jako dowolny gracz - wlacznie z administratorem.

Ta cecha nie zawsze ma numer CVE, bo formalnie nie jest to bug, tylko decyzja projektowa wczesnego BungeeCorda. Ale jej eksploatacja to pelnoprawna klasa podatnosci "authentication bypass".

Status w 2026. Nowoczesne rozwiazanie to forwarding przez "modern secret":

  • Velocity uzywa podpisanego forwarding: proxy podpisuje dane o kliencie kluczem HMAC znanym tylko proxy i backendowi. Falszywe informacje nie przejda weryfikacji
  • BungeeCord + SpigotGuard / podobne rowniez oferuja podpisane forwarding
  • Paper potrafi weryfikowac Velocity modern secret z pudelka

Jak sprawdzic swoje ustawienia.

# W Velocity config.yml
player-info-forwarding-mode: "modern"
forwarding-secret-file: "forwarding.secret"

# W paper-global.yml na backendzie
proxies:
  velocity:
    enabled: true
    online-mode: true
    secret: "...zawartosc forwarding.secret..."

Jesli nadal masz legacy forwarding - to ryzyko. Wiecej o migracji w artykule o architekturze sieci proxy.

Glowna zasada. Serwery backendu nigdy nie powinny byc dostepne z publicznego internetu bezposrednio. Tylko przez proxy. Zablokuj firewallem zewnetrzny dostep do portow backendu:

# Zezwol tylko na IP proxy
iptables -A INPUT -p tcp --dport 25566 -s PROXY_IP -j ACCEPT
iptables -A INPUT -p tcp --dport 25566 -j DROP

Klasa 4: Oversized NBT i przepelnienie zasobow

NBT (Named Binary Tag) to format danych, ktorego Minecraft uzywa do wszystkiego: przedmiotow, ksiazek, encji, struktur. NBT moze byc zagniezdzony i potencjalnie bardzo duzy.

Co sie dzialo. Okresowo znajdowano sposoby na stworzenie przedmiotu z nienormalnie duzym drzewem NBT: ksiazka z bardzo wieloma stronami, shulker z tysiacami zagniezdzonych przedmiotow, mapy z milionami punktow danych. Przeslanie takiego przedmiotu w pakiecie inventory powodowalo albo bardzo dluga serializacje (lagi), albo pelne zawieszenie serwera na OutOfMemoryError.

Status w 2026. Paper dodal konfigurowalne limity dla glownych typow NBT payloadow. Wlaczane w paper-global.yml:

item-validation:
  max-bytes: 128000
  book:
    title-max-length: 16
    author-max-length: 16
    page-max: 50
    max-book-page-size: 2560
  resolve-selectors-in-books: false
  book-size:
    page-max: 2560
    total-multiplier: 0.98

Te limity dzialaja tylko jesli jestes na aktualnym Paperze. Serwer vanilla nadal jest podatny.

Jak sprawdzic.

# Upewnij sie, ze item-validation jest wlaczony i limity sa rozsadne
# Wartosci powyzej sa "miekkie" - odpowiednie dla wiekszosci serwerow
# Na serwerach z custom przedmiotami (skyblock, RPG) mozna podniesc max-bytes

Jak zauwazyc eksploatacje. W logach:

  • OutOfMemoryError na main thread
  • nienormalny rozmiar plikow playerdata/*.dat (gracze moga przemycic przedmiot do inventory)
  • Packet rejected: item NBT too large

Jesli widzisz w playerdata pliki rozmiaru setek MB - to wyrazny znak problemu.

Klasa 5: Pterodactyl i panele administracyjne

Osobna klasa podatnosci to panele zarzadzania stojace przed serwerem (Pterodactyl, Crafty, Pelican, MCSManager). Wiekszosc adminow Minecraft ich uzywa, a wielu zapomina ich aktualizowac.

Co sie dzialo. Przez kilka lat w Pterodactyl znajdowano podatnosci pozwalajace:

  • wykonac kod na hoscie przez bledna obsluge plikow (CVE w pterodactyl/panel byly w 2021-2023)
  • obejsc uwierzytelnianie dwuskladnikowe
  • uzyskac dostep do plikow innych klientow na wspolnym hostingu
  • wykonac komendy w kontenerze jako root przez nieprawidlowa obsluge SFTP

Status w 2026. Pterodactyl jest aktywnie latany, ale nie wszyscy hosterzy i admini aktualizuja swoje instalacje. Jesli hostujesz serwer na wlasnym panelu Pterodactyl - w pelni odpowiadasz za jego bezpieczenstwo.

Co robic.

  1. Trzymaj Pterodactyl na aktualnej wersji. Szczegolowy poradnik w artykule o Pterodactyl security
  2. Wlacz uwierzytelnianie dwuskladnikowe dla wszystkich adminow
  3. Nie wystawiaj panelu do publicznego internetu bez Cloudflare lub WAF
  4. Monitoruj logi Wings (demon Pterodactyl) pod katem podejrzanych polaczen SFTP

Klasa 6: Podatnosci pluginow

Najmasowsza klasa w 2026. Pluginy czesto pisza amatorzy, kod jest publikowany na SpigotMC bez powaznego code review, i regularnie znajduje sie w nich dziury.

Co sie dzialo.

  • SQL injection w starych wersjach AuthMe, CMI, Essentials przez pole nicka lub komende /register
  • Path traversal w pluginach obslugujacych nazwy plikow (skiny, custom resource packi)
  • Niebezpieczna deserializacja YAML w pluginach przyjmujacych input uzytkownika
  • Podatnosci typu Log4Shell w pluginach uzywajacych wlasnego loggera
  • Zdalne wykonanie przez komendy RCON-like w niektorych pluginach z niewystarczajacym sprawdzaniem uprawnien

Status w 2026. Nie mozna zagwarantowac bezpieczenstwa, jesli instalujesz losowe pluginy. Ogolne zasady:

  1. Instaluj tylko pluginy z aktywnym rozwojem (ostatnie commity nie starsze niz rok)
  2. Sprawdzaj ocene i recenzje na SpigotMC / Modrinth
  3. Nie instaluj pluginow z podejrzanych kanalow Telegram ani "cracked" premium pluginow - regularnie zawieraja backdoory
  4. Trzymaj aktualne wersje - wlaczaj auto-aktualizacje w pluginach tam gdzie to bezpieczne

Wiecej o obowiazkowych pluginach i ich bezpieczenstwie w artykule o security plugins 2026 i must-have plugins.

Klasa 7: Porty Query/RCON

Ostatnia klasa nie dotyczy dokladnie packet exploits, ale jest z nimi scisle zwiazana. Minecraft ma dwa dodatkowe protokoly: Query (UDP) i RCON (TCP). Oba czesto zostaja otwarte przez nieuwage.

Query. Pozwala komukolwiek w internecie zobaczyc graczy, MOTD i liste pluginow. Publicznie dostepny port query jest czesto wykorzystywany do atakow amplification: atakujacy wysyla pakiet query ze sfalszowanym source IP, serwer odpowiada ofierze. I daje atakujacemu pelna liste pluginow, ktora potem wykorzystuje do dopasowania znanych podatnosci.

# server.properties - wylacz query, jesli niepotrzebny
enable-query=false

RCON. Zdalna konsola. Jesli haslo jest slabe lub domyslne, atakujacy moze wykonywac komendy jako operator, wlacznie z /op dla dowolnego gracza.

# server.properties - albo wylacz, albo ustaw silne haslo
enable-rcon=false
# lub
rcon.password=DlugieLosoweHasloNieZeSlownika
# i ogranicz dostep firewallem tylko do zaufanych IP

Wiecej w artykule whitelist vs online mode i analizie logow.

Podstawowa checklist hardening 2026

Minimum, ktore jest potrzebne kazdemu serwerowi. Jesli cos tutaj nie jest zamkniete - to potencjalny wektor.

Aktualizacje

  • Paper/Purpur/Folia na aktualnym stabilnym buildzie dla twojej wersji MC
  • Log4j w wersji 2.17.0+ (zwykle automatycznie z Paperem, ale warto sprawdzic)
  • Wszystkie pluginy zaktualizowane
  • Java na aktualnej wersji LTS (Java 21 dla MC 1.21+)

Konfiguracja serwera

  • item-validation w paper-global.yml wlaczony z rozsadnymi limitami
  • watchdog wlaczony z early-warning-delay: 10000
  • enable-query=false jesli query jest niepotrzebny
  • enable-rcon=false lub silne haslo + firewall na port RCON
  • online-mode=true dla serwera premium

Siec i proxy

  • Serwery backendu zamkniete od bezposredniego dostepu z internetu
  • Velocity/BungeeCord uzywa forwarding przez modern secret
  • Firewall skonfigurowany (wiecej w firewall iptables guide)
  • Filtr DDoS rozumie Minecraft protocol (L7)

Monitoring

Dostep administracyjny

  • 2FA na Pterodactyl/panelu (wiecej w two-factor auth)
  • SSH na serwer tylko po kluczu, nie po hasle
  • Operatorzy (OP-list) tylko zaufane osoby
  • Regularny audyt ops.json

Jak byc na biezaco z nowymi podatnosciami

Dobry admin nie czeka, az zhakuja mu serwer. Zrodla informacji:

  • PaperMC GitHub Security Advisories - github.com/PaperMC/Paper/security/advisories
  • Velocity GitHub Advisories - analogicznie dla Velocity proxy
  • Twitter/X #minecraft exploit - spolecznosc czesto pierwsza publikuje znaleziska
  • Serwery Discord duzych hostingow i MineGuard - tam czesto idzie dyskusja, gdy cos sie pali
  • CVE.org - wyszukiwanie po slowie "minecraft"
  • NVD (National Vulnerability Database) - oficjalne zrodlo CVE

Co robic przy podejrzeniu wlamania

Jesli podejrzewasz, ze serwer byl eksploatowany:

  1. Zrob pelny snapshot. Swiat, configi, logi, playerdata. Jesli okaze sie, ze atak byl udany - to twoj material do odtworzenia
  2. Sprawdz ops.json. Czy nie pojawili sie nieoczekiwani operatorzy
  3. Sprawdz logi pod katem podejrzanych komend. Szczegolnie op, deop, zmiany uprawnien
  4. Sprawdz pliki swiata. Nie ma komend w command_blocks, anomalnych struktur
  5. Zatrzymaj serwer i zaktualizuj wszystko. Minecraft, Paper, pluginy, Java, OS
  6. Zmien hasla. RCON, panele zarzadzania, SSH
  7. Jesli kompromitacja potwierdzona - rozstaw serwer od zera. Atakujacy mogl ukryc backdoora w swiecie, pluginie, a nawet w pliku jar

Podsumowanie

Podatnosci serwerow Minecraft w 2026 dziela sie na kilka glownych klas: RCE przez logowanie, packet DoS, obejscie forwarding proxy, przepelnienia przez NBT, podatnosci pluginow i paneli. Dla kazdej klasy jest jasna droga obrony:

  • trzymac Paper i pluginy w aktualnych wersjach
  • uzywac modern secret forwarding
  • zamykac backend od publicznego dostepu
  • wlaczac item-validation i watchdog
  • monitorowac logi pod katem anomalii
  • podnosic obrone sieciowa przez filtr rozumiejacy Minecraft protocol

MineGuard pokrywa wlasnie warstwe sieciowa: odcina malformed pakiety na poziomie jadra, filtruje ataki wolumetryczne przez XDP/eBPF i wykrywa ruch bot-join po cechach behawioralnych (wiecej w bot-join detekcja 2026). Ale hardening serwera to nadal zadanie administratora. Ten artykul daje podstawowa checkliste.

Jesli potrzebujesz pomocy z konfiguracja ochrony lub analiza podejrzanej aktywnosci - nasz support jest gotowy przeanalizowac konkretny przypadek.

Chroń swój serwer przed atakami DDoS

Darmowa ochrona z konfiguracją w 5 minut. 1 TB ruchu w zestawie.

Wypróbuj za darmo

Powiązane artykuły

Najlepsze pluginy bezpieczeństwa Minecraft 2026: uczciwy przegląd

Najlepsze pluginy bezpieczeństwa Minecraft 2026: uczciwy przegląd

Rozkładamy pluginy bezpieczeństwa dla serwerów Minecraft: autoryzacja, anticheat, ochrona przed botami, uprawnienia, logowanie. Uczciwe plusy i minusy każdego rozwiązania z radami konfiguracji.

Chunky: pregeneracja chunków w Minecraft i jak pozbyć się lagów generowania

Chunky: pregeneracja chunków w Minecraft i jak pozbyć się lagów generowania

Plugin Chunky generuje chunki z wyprzedzeniem, dzięki czemu serwer w trakcie gry tylko czyta gotowe regiony z dysku. Komendy, matematyka i realne czasy.

Crossplay SMP: jeden serwer dla Java i Bedrock przez Geyser i Floodgate

Crossplay SMP: jeden serwer dla Java i Bedrock przez Geyser i Floodgate

Jak postawic Paper dla Java i Bedrock przez Geyser i Floodgate: prefiksy, UUID, paczki zasobow, anty-cheat i porty UDP.