Empezado el 30 de junio y resuelto el 2 de julio, HHsafio 2 sufrió un ataque que hizo activar los protocolos de emergencia ante este acontecimiento.

En este artículo estaremos dando los detalles específicos sobre este incidente, el desarrollo y como finalmente lo hemos podido resolver.

Este artículo muestra la hora en UTC-4, por lo que tu hora local podría ser diferente.

Antes del incidente (29/06)

Durante el día 29 de junio, todo iba normal en el servidor de HHsafio 2, los participantes entraban, progresaban y se juntaban para sobrevivir en este día. Nada fuera de lo normal paso en este día, todo operativo para el día siguiente. Ese día, con 3 personas estabamos haciendo el casino que inauguraría el siguiente día.

Muestro imágenes sacadas ese día.

1. Había construido un almacén de ítems, que parecía japonés.

2. Estaba con Demon en el atardecer, nos sacamos una foto.

Anomalía inicial (30/06 11:46)

En la mañana del 30 de junio, se detectó una anomalía, un jugador³ se había unido al servidor. Nadie de los demás participantes estaba conectado a esa hora.

El ataque (30/06 11:49)

El jugador que se había unido hace tres minutos era Nutriahh, un jugador con OP (permisos administrativos) en el servidor.

3. El jugador Nutriahh se conectó al servidor a las 11:46.

Pero, no era el verdadero dueño de la cuenta, más adelante sabremos quién fue… Nutriahh empezaría a ejecutar varios comandos⁴ de Minecraft Vanilla en un lapso de milisegundos.

4. Nutriahh usa varios comandos en un lapso pequeño de tiempo.

El jugador usaba comandos como: /scoreboard objetives add; un comando para crear objetos en el scoreboard, principalmente usado para crear texto en la parte derecha de la pantalla, /team add; un comando para crear equipos, usualmente usado para definir el equipo de algunos jugadores, y otros comandos más.

El jugador paso aproximadamente cinco minutos escribiendo esos comandos muchas veces.

Luego, empezaría a usar el comando /fill⁵, usado para remplazar bloques de una coordenada A a una coordenada B.

5. Nutriahh usa el comando /fill multiples veces.

Lo uso de la siguiente forma: primero, seleccionó una zona y la remplazo por bloques de aire, y luego esa misma zona la reemplaza por bloques de lava.

Esa acción y hacerlo de manera repetitiva se le llama grifear, un término usado por jugadores trolls que arruinaban los mundos de otros jugadores, con el fin de molestar.

Según el registro del servidor, el jugador uso 527 comandos de /fill en un lapso de un minuto. Luego de grifear, se desconectó finalmente a las 05:57.

El avistamiento (30/06 14:45)

Tres horas después del ataque, los jugadores Carballolo y GooldenBoy se unieron al servidor⁶.

6. Participantes de HHsafio 2 se conectaron al servidor.

Apenas de que Carballolo entrara al servidor, diría lo siguiente: “parece que grifearon el spawn, voy a ver”.

En ese momento, no estaba enterado de lo que estaba sucediendo, hasta que Alonsohh me envía un mensaje directo⁷ por Discord a las 14:54.

7. Carballolo sacaría una captura de pantalla, donde mostraba el servidor.

Lo veo cuatro minutos después, dándonos cuenta de que alguien había entrado al servidor mientras no estábamos presentes, y grifeo el servidor.

Alonsohh me volvería a mandar un mensaje directo⁸ por Discord a las 15:03, mostrándome el spawn del servidor.

8. Carballolo sacaría otra captura de pantalla, viendo el spawn.

En efecto, como verás, quedo totalmente destruido.

Estuvimos unos minutos hablando de que deberíamos hacer, y llegamos a la conclusión de cerrar el servidor temporalmente. Alonsohh cerro el servidor y mando el siguiente mensaje⁹ por el Discord de HHsafio 2 a las 15:11.

9. Alonsohh mando un aviso de que el servidor estaría en mantenimiento de emergencia durante unos días.

Me puse a revisar el registro del servidor, donde se almacena todo, y a las 15:25 mande el siguiente mensaje.

10. Revisaría el registro 2025-06-30-5.log, donde pude obtener gran información.

Dándome cuenta de que la cuenta de Nutriahh no fue controlada por Alonsohh, sino por otra persona que tuvo acceso a ella e hizo el grifeo.

En el registro del servidor, se podía ver la IP de la última conexión de alguna cuenta, con esa información, me puse a investigar de donde fue la IP, a las 15:38 ya sabia de donde fue el ataque.

11. Revise la IP desde la última conexión, dándonos información de donde fue el ataque.

Sí, fue desde Italia.

Seguramente te estarás preguntando, ¿cómo estás seguro de que fue desde Italia y no usaron una VPN? Con una investigación rápida, determine que la compañía de internet es una real de Italia, además, el hostname (una URL única para poder conectarse a internet) es una IP de Italia de la compañía de internet.

El mantenimiento de emergencia (30/06 18:33)

Alonsohh y yo nos unimos al servidor con nuestras cuentas premium (para mayor seguridad) y activamos el whitelist.

Lo primero que hicimos es ver el spawn¹², estaba totalmente destruido, estaba lleno de lava. Se puede apreciar en la siguente imagen, sacada por mí.

12. El spawn destruido desde otro ángulo.

Pero lo que no nos esperábamos ambos, es que la base de Demon¹³¹⁴, ubicada unos 200 bloques lejos del spawn resultará ilesa.

13. La base de Demon, sin daños.

14. Un video sacado por Alonsohh, donde se ve la base de Demon a pocos bloques de ser destruida.

Con respecto al casino…

15. Alonsohh mostrando el casino que se iba a inaugurar hoy… fue destruido en su totalidad.

Nos pusimos a reconstruir el spawn con WorldEdit, un plugin para facilitar las construcciones. Nos quedamos hasta las 01:13 de la mañana.

Y, añado una aclaración importante, en los días anteriores del ataque, no teníamos algún respaldo del servidor, obligándonos a hacer este mantenimiento de emergencia para resolver el gran caos que dejó el grifeador.

Segundo día del mantenimiento (01/07 18:14)

Descansamos por algunas horas, y volvimos a seguir reparando el servidor después del grifeo. Así se veía el spawn¹⁶ después del primer día.

16. La foto del spawn reconstruida, sacada por Alonsohh.

En este día, nos pusimos a terminar lo que restaba: el casino, los aldeanos que intercambian HHditas (moneda del servidor para comprar varias cosas), etc. Además, añadi un plugin llamado CountryBlock¹⁷ para solo añadir a la whitelist los países de los participantes, así podíamos asegurar de que no pasaría de nuevo.

18. Mostrando que el plugin funcionaba correctamente.

Para reforzar más la seguridad, creamos el siguiente sistema:

• Primera capa; Los jugadores deberán estar con whitelist para que puedan unirse al servidor, de lo contrario, no podrán.

• Segunda capa; Los jugadores deberán estar en un país con whitelist para que puedan unirse al servidor, además de que no pueden estar con alguna VPN, de lo contrario, el ¹⁷plugin los expulsarían.

• Tercera capa; Backups automáticos, diseñados para que si las dos capas fallan, tengamos un respaldo para restablecer todo como estaba antes.

Con esta seguridad, sería muy difícil que griffers entraran de nuevo al servidor a destruirlo todo de nuevo.

Y añadimos otros aspectos importantes:

• Anti-xray.

• Nuevos items.

• Dos cambios de dificultad.

• Y una recompensa por este mantenimiento a los participantes.

Terminamos el día a las 01:21, con el casino listo para abrir mañana, los sistemas de seguridad reforzados y con esperanza de que no pasaría nada de nuevo. Alonsohh termino publicando un mensaje diciendo todo lo que había pasado y lo nuevo.

El regreso (02/07 12:23)

El día comenzó con el aviso¹⁹ de Alonsohh en el servidor de Discord.

19. Un aviso de Alonsohh, diciendo que el servidor fue abierto.

Nosotros contentos de que esta situación la pudimos manejar lo más rápido posible y ahora todos los participantes podrían volver a jugar en HHsafio 2.

Todo continuo normal, hasta que paso algo nuevamente…

Un nuevo intento (02/07 17:08)

Aproximadamente, cinco horas después de la reapertura del servidor, el servidor lanzo un mensaje urgente²⁰.

20. Un jugador de otro país intento unirse al servidor, fallando en el intento.

Me di cuenta rápidamente de que nuevamente intentaron atacar desde Italia, le dije rápidamente a Alonsohh, quien estaba jugando con más participantes en ese momento.

21. Los grifers intentaron entrar con una cuenta distinta, fallando por el sistema de seguridad reforzado.

Gracias al plugin y el sistema que hemos añadido ayer, los atacantes fallaron en su intento, demostrándonos de que ahora estábamos protegidos otra vez.

22. La conversación de Discord, hablando del tema.

El fin de este artículo

Y finalmente hoy, 3 de julio, no volvieron a intentar atacar otra vez.

Este artículo lo hice con el propósito de mostrarles a todos que, gracias a un error que cometimos, pudimos hacer varias cosas para proteger el servidor y que ahora este más protegido que nunca.

Espero que hayan gustado leer este blog, si pueden compartirlo, lo agradecería ;)