yumc

Lihl留言 | 贡献2023年7月9日 (日) 14:50的版本 (a.提示,并不是强制删除 b.加个sic)
yumc
用户信息
用户名 yumc
别名 喵呜、MiaoWoo、Mr_jtb、喵♂呜、Yoo_JaeSeok
用户组 Lv.8 考古家
UID 1744069

yumc 是 MCBBS 前艺术家用户,商业性插件“喵式插件”系列的开发者,著名绿宝石购买者。

因插件中包含远程执行代码后门被封禁,其发布的所有插件、软件都被移动到回收区。这是他第三次添加后门。但现已被解封。

行嘛 反正你看不惯我又不是一次两次了

你把我所有插件帖子删了吧

反正你是版主 可以不沟通就把我帖子都移到回收区 直接删了岂不是更简单

新官上任三把火 烧的挺旺的啊
——yumc在被举报帖中指责版主TUCAOEVER
已核实论坛内发布的插件初[原文如此]miaochat外不存在被举报的问题。考虑到以往的贡献及实际未收到举报造成危害的情形,给予解封,但免除艺术家称号。
——版主妖梦的舔狗

2016年的后门事件

2016年2月13日,yumc曾经使用的账号喵♂呜Yoo_JaeSeok因开发的四款插件包含后门代码而被封禁。[1]

这次的后门是指定玩家名称(Mr_jtb)可无视命令所需权限,直接执行命令。这个玩家名称是yumc自己的Java版账号名称。

2016年3月24日,yumc注册了现在的账号。

利用顶帖功能获利事件

2021年2月,yumc搭建的平台圈云盒子被指出利用自动顶贴独占服务器板块获利[2][3][4]

被多人举报,引发了大量讨论,回复最多的帖子共有122条回复,但此帖并没有得到管理员的处理。

签名档事件

2021年2月15日,yumc放置于签名档中大量的商业宣传内容被举报违规。涉及人民币购买“服务器提升卡”、“自动顶贴”、“提升卡代理商”等。[5][6]

但此帖并没有得到管理员的处理,后不明原因yumc签名档中的商业内容已被移除。

2023年的后门事件

2023年6月23日 ,yumc开发的全系列插件(如 MiaoChat 等)被指出涉嫌包含后门,可用于远程执行代码(RCE)[7]

该帖一出便引发热议,帖子关闭前共有83条回复。

在代码中的函数名公然写出“loadrce”(远程执行代码 Remote Command/Code Execute)。

yumc辩解称远程执行代码是为了验证正版。希望“将一些付费插件改为免费插件发布,当做是福利”。

最终处理结果为:举报者huzpsb被奖励1贡献,yumc被撤销艺术家称号并永久禁言。发布的多款插件被移入回收区,但没有屏蔽。他的其他帖子页面也被陆续找到并移入回收区。[8][9]

后有人提出为屏蔽发布的帖子、对此事发布公告、将其列入失信名单,但管理员只处理了屏蔽相关帖子。[10]

被解封事件

2023年7月8日,yumc在末路之地板块发布申请解封帖子,数小时后被妖梦的舔狗解除禁言,并免除了艺术家称号。

yumc解释称仅在MiaoChat插件中存在远程执行代码,是用于MiaoChat付费版本的正版验证,不小心放入了免费版中,称其他插件均无后门,没有恶意用途。后续将把一些付费插件去除反盗版功能后进行免费发布,当做是福利。[11]

ABlueCat发长文指出了yumc和支持者jiongjionger发言所存在的不当之处。贺兰兰也从版规的角度出发驳斥了yumc的申请解封行为。

冰砚炽指出不止在MiaoChat插件中存在后门,且后门为故意添加,无法证实是否用于恶意用途[12]。但管理员没有听取,依然选择相信yumc的解释。

因这次事件,对于yumc作品的信任产生了严重的负面影响,对论坛的公信力也影响颇深。在矿工茶馆也出现了大量讨论、讽刺的帖子[13][14][15][16][17],其中部分帖子已被不明原因删除。


接下来由我负责处理此事。根据现阶段掌握的证据来看,尚无证据表明,也无法保证 MiaoChat 插件后门未被用于除保护作品以外的其他用途,植入后门情况属实。此前已按照版规永久封禁,并通过申诉根据未造成危害为由解封了账号。根据后续未经证实的消息表明,可能存在除了 MiaoChat 以外有更多的插件植入后门的问题,且可能已造成实质危害,但该消息取证困难,目前我们难以核实。

综上所述,此次解封为时过早,在得出进一步结论之前,作出如下处罚:延长封禁 yumc 账号 60 天,回收屏蔽相关插件,移除相关争议内容。

有乐子人可能会问我是不是钱没给够,我的评价是:看看我的完整签名档。
——SHEEP_REALMS

2023年7月9日下午14时许,SHEEP_REALMS发布回复,表示对yumc加刑60天。

被回收插件列表


你知道吗

  • yumc开发的yum插件曾因无法关闭自动更新而被处理。[18]
  • yumc自己也曾是 RCE 受害者。[19]

注释与外部链接