Référence des ports
Port 25565 (TCP) – Minecraft (serveur Java Edition)
Port d'écoute par défaut des serveurs multijoueurs Minecraft Java Edition, gérant le protocole de jeu et les pings de liste de serveurs.
État par défaut
Ouvert sur les serveurs Minecraft Java auto-hébergés et loués, très souvent exposé directement à Internet.
Attaques courantes
- DDoS volumétrique et applicatif contre le serveur
- RCE Log4Shell sur les serveurs moddés/plugins utilisant un Log4j vulnérable
- Abus de RCON exposé (25575) pour un accès console distant
- Floods de bots/connexions et griefing des serveurs non protégés
Durcissement
- Corriger/mettre à jour Log4j et le logiciel serveur pour atténuer Log4Shell
- Ne jamais exposer RCON (25575) ; le lier à localhost avec un mot de passe fort
- Placer un proxy de filtrage DDoS en amont et limiter le débit des connexions
- Utiliser une liste blanche et l'authentification online-mode pour bloquer les connexions non autorisées
- Exécuter le serveur en tant qu'utilisateur non privilégié dans un conteneur isolé
Commande nmap
nmap -p25565 --script minecraft-info <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Ce qui s'exécute sur le port 25565
Le port 25565 est le port par défaut des serveurs multijoueurs Minecraft Java Edition. Il transporte le protocole de jeu — connexions, mises à jour du monde, chat — et répond aux pings de liste de serveurs. Les serveurs auto-hébergés et loués l'exposent souvent directement à Internet. Une console distante RCON écoute généralement sur 25575 pour l'administration.
Pourquoi c'est important pour la sécurité
Les serveurs Minecraft sont une cible DDoS récurrente, à la fois volumétrique et applicative. Plus grave, les serveurs moddés et à plugins utilisant un Log4j vulnérable étaient exploitables via Log4Shell (CVE-2021-44228), où un message de chat forgé pouvait déclencher une exécution de code à distance. Un RCON exposé ou mal protégé donne à un attaquant le contrôle total du serveur.
Comment c'est attaqué
Les attaquants lancent des floods de bots/connexions et des DDoS pour mettre les serveurs hors ligne. Sur les serveurs moddés non corrigés, ils envoient une chaîne de lookup JNDI dans le chat pour déclencher la RCE Log4Shell. Ils scannent ou brute-forcent le RCON exposé (25575) et abusent des mots de passe faibles, et grièfent les serveurs sans liste blanche ni authentification.
Liste de durcissement
Corrigez Log4j et mettez à jour le logiciel serveur pour fermer Log4Shell. N'exposez jamais RCON — liez 25575 à localhost avec un mot de passe fort. Placez un proxy de filtrage DDoS en amont et limitez le débit des connexions. Activez une liste blanche et l'authentification online-mode pour bloquer les connexions non autorisées, et exécutez le serveur en tant qu'utilisateur non privilégié dans un conteneur isolé. Utilisez la commande nmap ci-dessus sur les serveurs que vous exploitez.
Ports liés
Questions fréquentes
- Est-il sûr d'exposer le port 25565 à Internet ?
- Seulement avec précaution. C'est une cible DDoS courante, et les serveurs moddés ou à plugins ont subi des RCE critiques comme Log4Shell. Corrigez Log4j, gardez RCON fermé, activez une liste blanche et placez un filtrage DDoS en amont.
- Quel est le risque de RCON sur le port 25575 ?
- RCON donne le contrôle complet de la console distante du serveur. S'il est exposé avec un mot de passe faible ou par défaut, les attaquants prennent le contrôle du serveur. Liez RCON à localhost et n'exposez jamais 25575 à Internet.