Strona 1 z 3
Kradzież BTC z portfela! ! ! uups, jednak nie...
: środa, 18 grudnia 2013, 12:14
autor: kujaw
"Miałem dzisiaj dość nieciekawą sytuację.
Wczoraj w południe zleciłem z Bitcurexa wypłatę BTC na mój portfel. Szła bardzo długo, było ponad 30 potwierdzeń i jeszcze nie miałem ich na swoim koncie. Więc nie chciałem czekać, poszedłem spać. Teraz wstaję, odpalam Multibit i patrzę, że nic nie mam. Na blockchain wstukuję adres mojego portfela i patrze, że jest jedna nowa transakcja, wypłata BTC z mojego portfela, dokładnie tyle ile miało przyjść z bircurexa. Status wypłaty "niepotwierdzona".
Adres, na który ktoś wypłacił moje pieniądze: 1Jd5puPgHGMH3VvULDMM2t2qtQKEi1feBj
Spójrzcie na ten adres na blockchainie, bardzo podejrzane transakcje."
Taka tam historia niedoszłego biznesmena, który w ogniu niezliczonych transakcji spędzał dni i noce na budowaniu finansowego imperium, a owoce jego pracy przyniosły kuriozalne skutki. Zakupiwszy ogromny pakiet inwestycji sądził, iż posiada w swoich rękach klucz. I wtedy padł ofiarą zamachu. Ale nie zwykłego zamachu, była to sprawa spędzająca sen z powiek wszystkim mentorom świata. Jego klucz został skradziony. Dekady poszukiwań spełzły na niczym, zostawiając wszystkie zaangażowane osoby bez odpowiedzi na najważniejsze pytanie "Jak?"....
Ano tak -
przestroga dla wszystkich początkujących
Korzystam z klienta btc MultiBit. Pewnego dnia zakupiłem btc na pln.bitcurex. Przelałem do mojego portfela a z portfela wysłałem na btc-e. W multibicie w zakładce "wyślij" został adres btc-e. Za jakiś czas zakupiłem btc na eur.bitcurex. Więc wszedłem w ustawienia mojego konta na bitcurex i wpisałem adres "mojego portfela", z tym, że ten adres skopiowałem z zakładki "wyślij" w Multibit. Tak oto btc wyszły od raz z bitcurex do btc-e, a ja nie miałem bladego pojęcia, bo sądziłem, że miały przyjść do mojego portfela. Więc pierwsza myśl - haker się wlamał i przelał sobie kasę... a tak naprawdę btc poleciały prosto na giełdę... . . .
Jeśli korzystacie z wielu giełd i portfeli - sprawdzajcie DOKŁADNIE adresy, na które wysyłacie coiny, zarówno w ustawieniach na giełdach jak i w klientach. Tyle.
Poprawiłem tytuł i ikonkę
rav3n_pl
dzieki
Re: Kradzież BTC z portfela! ! !
: środa, 18 grudnia 2013, 12:18
autor: lenny
Potraktuj swoje komputery, komórki i wszelkie urządzenia, na których pracowałeś i logowałeś się na Bitcurex, do portfela itp. jako skompromitowane. Pewnie masz wirusa/trojana, który wykradł Ci plik portfela i/lub hasło do niego.
Re: Kradzież BTC z portfela! ! !
: środa, 18 grudnia 2013, 12:23
autor: kujaw
Rozumiem, że powinienem zmienić wszystkie hasła na wszystkich giełdach, przeinstalować systemy i dopiero wtedy zacząć dalej korzystać z btc? No i portfele offline.
Re: Kradzież BTC z portfela! ! !
: środa, 18 grudnia 2013, 12:40
autor: bl4ck
Na razie nic nie formatuj spróbuj rozwiązać jakoś tą zagadkę co jak i dlaczego.
Re: Kradzież BTC z portfela! ! !
: środa, 18 grudnia 2013, 12:50
autor: AdamM
kujaw pisze:Status wypłaty "niepotwierdzona".
To może warto spróbować double spenda?
Re: Kradzież BTC z portfela! ! !
: środa, 18 grudnia 2013, 12:51
autor: lenny
kujaw pisze:Rozumiem, że powinienem zmienić wszystkie hasła na wszystkich giełdach, przeinstalować systemy i dopiero wtedy zacząć dalej korzystać z btc? No i portfele offline.
Docelowo - tak. Zrób śledztwo, jak się wirus znalazł na twoich maszynach i czy nadal tam jest.
AdamM pisze:kujaw pisze:Status wypłaty "niepotwierdzona".
To może warto spróbować double spenda?
Wszystkie transakcje na tym adresie są już potwierdzone.
Re: Kradzież BTC z portfela! ! !
: środa, 18 grudnia 2013, 13:43
autor: lucky777
kujaw pisze: Szła bardzo długo, było ponad 30 potwierdzeń i jeszcze nie miałem ich na swoim koncie.
Transakcje widzisz u siebie w portfelu już po 0 potwierdzeniach. Do 6 potwierdzeń musisz czekać aby mieć potwierdzone środki.
Który to Twój adres?
Re: Kradzież BTC z portfela! ! !
: środa, 18 grudnia 2013, 13:48
autor: lenny
lucky777 pisze:kujaw pisze: Szła bardzo długo, było ponad 30 potwierdzeń i jeszcze nie miałem ich na swoim koncie.
Transakcje widzisz u siebie w portfelu już po 0 potwierdzeniach. Do 6 potwierdzeń musisz czekać aby mieć potwierdzone środki.
Który to Twój adres?
Już od 1 potwierdzenia można wydawać środki. 6 potwierdzeń było bardzo dawno temu, teraz wystarczy tylko 1, zarówno w Bitcoin-Qt jak i w Multibit.
Re: Kradzież BTC z portfela! ! !
: środa, 18 grudnia 2013, 13:57
autor: kujaw
Chętnie bym to wszystko zrobił, ale totalnie nie mam pojęcia jak. Czy znacie jakieś dobre narzędzie na linuxa, które może zlokalizować trojany, spyware'y itp.? Może jakiś antywirus typu AVG? Póki co znalazłem chrootkit i clamav.
Skoro przy 0 potwierdzeniach powinienem widzieć kasę a było ich ponad 30 i jeszcze nie widziałem to o czym to może świadczyć?
Re: Kradzież BTC z portfela! ! !
: środa, 18 grudnia 2013, 14:01
autor: AdamM
kujaw pisze:Skoro przy 0 potwierdzeniach powinienem widzieć kasę a było ich ponad 30 i jeszcze nie widziałem to o czym to może świadczyć?
O tym że po pierwszym ktoś przelał dalej. Pokaż Twój adres, bo ciężko zgadywać.
Re: Kradzież BTC z portfela! ! !
: środa, 18 grudnia 2013, 14:07
autor: kujaw
1HxRe2bu6LoBpW7JdBHgdNZqnAEkboRfBc
Odpaliłem chkrootkit:
Kod: Zaznacz cały
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not found
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not found
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not found
Checking `sshd'... not found
Checking `syslogd'... not tested
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not found
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for rootkit HiDrootkit's default files... nothing found
Searching for rootkit t0rn's default files... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for rootkit Lion's default files... nothing found
Searching for rootkit RSHA's default files... nothing found
Searching for rootkit RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:
/usr/lib/pymodules/python2.7/.path /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/jvm/.java-7-oracle.jinfo /usr/lib/jvm/java-7-oracle/lib/missioncontrol/plugins/org.eclipse.core.runtime.compatibility.registry_3.5.100.v20120521-2346/.api_description /usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/.settings /usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/profileRegistry/JMC.profile/.lock /usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/profileRegistry/JMC.profile/.data /usr/lib/jvm/java-7-oracle/lib/visualvm/visualvm/.lastModified /usr/lib/jvm/java-7-oracle/lib/visualvm/platform/.lastModified /usr/lib/jvm/java-7-oracle/lib/visualvm/profiler/.lastModified /usr/lib/jvm/.java-gcj-4.6.jinfo
/usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/.settings /usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/profileRegistry/JMC.profile/.data
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for ENYELKM rootkit default files... nothing found
Searching for common ssh-scanners default files... nothing found
Searching for suspect PHP files... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
chkdirs: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
wlan0: PACKET SNIFFER(/sbin/wpa_supplicant[1071], /sbin/dhclient[2030])
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! kujaw 6490 pts/1 bash
! kujaw 7195 pts/1 sudo chkrootkit
! root 7196 pts/1 /bin/sh /usr/sbin/chkrootkit
! root 7837 pts/1 ./chkutmp
! root 7839 pts/1 ps axk tty,ruser,args -o tty,pid,ruser,args
! root 7838 pts/1 sh -c ps axk "tty,ruser,args" -o "tty,pid,ruser,args"
chkutmp: nothing deleted
Checking `OSX_RSPLUG'... not infected
Coś ktoś?
Re: Kradzież BTC z portfela! ! !
: środa, 18 grudnia 2013, 14:08
autor: lenny
AdamM zadał Ci pytanie?
Możesz sobie debugować wszystko miesiącami, na pewno nic nie znajdziesz, jeśli padłeś ofiarą socjotechniki lub zalogowałeś się na innym kompie, gdzie był trojan.
Re: Kradzież BTC z portfela! ! !
: środa, 18 grudnia 2013, 14:17
autor: kujaw
Podałem w poprzednim poście, napiszę jeszcze raz
1HxRe2bu6LoBpW7JdBHgdNZqnAEkboRfBc
Re: Kradzież BTC z portfela! ! !
: środa, 18 grudnia 2013, 14:18
autor: AdamM
lenny, wygląda że chodzi o tę transakcję:
https://blockchain.info/pl/tx/aee7ca76c ... 032f31c7c5
Dalej niepotwierdzona. Duża, zero fee. Może jednak ktoś by pomógł koledze zrobić double spenda. Byłoby to całkiem ciekawe.
Re: Kradzież BTC z portfela! ! !
: środa, 18 grudnia 2013, 14:28
autor: lenny
A rzeczywiście, dzięki.
Ktoś dodał ten adres do swojego zbiorczego portfela i z niego wysłał transakcję, która nie jest jeszcze potwierdzona.
Hacker wysłał to ze starej wersji Bitcoin-Qt, dlatego nie jest potwierdzona! W nowej wersji 0.8.6 limit dla free transactions to 3000 bajtów, zamiast 30k bajtów, dlatego transakcja wisi - bo nikt nie chce jej dołączyć do bloku (narazie).
Jest jeszcze szansa:) kujaw, napisałem Ci PM.
Re: Kradzież BTC z portfela! ! !
: środa, 18 grudnia 2013, 14:31
autor: AdamM
lenny pisze:Jest jeszcze szansa:) kujaw, napisałem Ci PM.
Jakbyście znaleźli łatwe rozwiązanie w postaci gotowego narzędzia to dajcie koniecznie znać.
Re: Kradzież BTC z portfela! ! !
: środa, 18 grudnia 2013, 14:31
autor: bl4ck
Niezły złodziej... bitki leją się strumieniami do niego.
Re: Kradzież BTC z portfela! ! !
: środa, 18 grudnia 2013, 16:15
autor: lenny
game over, transakcja potwierdzona, autor nie odezwał się do mnie.
Teraz zostało tylko pozbierać się po tej stracie i znaleźć przyczynę infekcji twoich komputerów. Powodzenia.
Re: Kradzież BTC z portfela! ! !
: środa, 18 grudnia 2013, 16:31
autor: radez9
lenny pisze:game over, transakcja potwierdzona, autor nie odezwał się do mnie.
Teraz zostało tylko pozbierać się po tej stracie i znaleźć przyczynę infekcji twoich komputerów. Powodzenia.
Lenny - poproszę o jakieś dokładniejsze wyjaśnienie co się właściwie stało? Bo tak nie do końca rozumiem - zginęły czy nie w końcu ???
Re: Kradzież BTC z portfela! ! !
: środa, 18 grudnia 2013, 17:16
autor: kujaw
Fuck, spóźniony ;[
Teraz pytanie, co mam zrobić, żeby znaleźć tę przyczynę?