Kradzież BTC z portfela! ! ! uups, jednak nie...

[kujaw]

"Miałem dzisiaj dość nieciekawą sytuację.
Wczoraj w południe zleciłem z Bitcurexa wypłatę BTC na mój portfel. Szła bardzo długo, było ponad 30 potwierdzeń i jeszcze nie miałem ich na swoim koncie. Więc nie chciałem czekać, poszedłem spać. Teraz wstaję, odpalam Multibit i patrzę, że nic nie mam. Na blockchain wstukuję adres mojego portfela i patrze, że jest jedna nowa transakcja, wypłata BTC z mojego portfela, dokładnie tyle ile miało przyjść z bircurexa. Status wypłaty "niepotwierdzona".
Adres, na który ktoś wypłacił moje pieniądze: 1Jd5puPgHGMH3VvULDMM2t2qtQKEi1feBj
Spójrzcie na ten adres na blockchainie, bardzo podejrzane transakcje."

Taka tam historia niedoszłego biznesmena, który w ogniu niezliczonych transakcji spędzał dni i noce na budowaniu finansowego imperium, a owoce jego pracy przyniosły kuriozalne skutki. Zakupiwszy ogromny pakiet inwestycji sądził, iż posiada w swoich rękach klucz. I wtedy padł ofiarą zamachu. Ale nie zwykłego zamachu, była to sprawa spędzająca sen z powiek wszystkim mentorom świata. Jego klucz został skradziony. Dekady poszukiwań spełzły na niczym, zostawiając wszystkie zaangażowane osoby bez odpowiedzi na najważniejsze pytanie "Jak?"....

Ano tak - przestroga dla wszystkich początkujących

Korzystam z klienta btc MultiBit. Pewnego dnia zakupiłem btc na pln.bitcurex. Przelałem do mojego portfela a z portfela wysłałem na btc-e. W multibicie w zakładce "wyślij" został adres btc-e. Za jakiś czas zakupiłem btc na eur.bitcurex. Więc wszedłem w ustawienia mojego konta na bitcurex i wpisałem adres "mojego portfela", z tym, że ten adres skopiowałem z zakładki "wyślij" w Multibit. Tak oto btc wyszły od raz z bitcurex do btc-e, a ja nie miałem bladego pojęcia, bo sądziłem, że miały przyjść do mojego portfela. Więc pierwsza myśl - haker się wlamał i przelał sobie kasę... a tak naprawdę btc poleciały prosto na giełdę... . . .

Jeśli korzystacie z wielu giełd i portfeli - sprawdzajcie DOKŁADNIE adresy, na które wysyłacie coiny, zarówno w ustawieniach na giełdach jak i w klientach. Tyle.

Poprawiłem tytuł i ikonkę
rav3n_pl
dzieki

[lenny]

Potraktuj swoje komputery, komórki i wszelkie urządzenia, na których pracowałeś i logowałeś się na Bitcurex, do portfela itp. jako skompromitowane. Pewnie masz wirusa/trojana, który wykradł Ci plik portfela i/lub hasło do niego.

[kujaw]

Rozumiem, że powinienem zmienić wszystkie hasła na wszystkich giełdach, przeinstalować systemy i dopiero wtedy zacząć dalej korzystać z btc? No i portfele offline.

[bl4ck]

Na razie nic nie formatuj spróbuj rozwiązać jakoś tą zagadkę co jak i dlaczego.

[AdamM]

Status wypłaty "niepotwierdzona".

To może warto spróbować double spenda?

[lenny]

Rozumiem, że powinienem zmienić wszystkie hasła na wszystkich giełdach, przeinstalować systemy i dopiero wtedy zacząć dalej korzystać z btc? No i portfele offline.

Docelowo - tak. Zrób śledztwo, jak się wirus znalazł na twoich maszynach i czy nadal tam jest.

Status wypłaty "niepotwierdzona".

To może warto spróbować double spenda?

Wszystkie transakcje na tym adresie są już potwierdzone.

[lucky777]

Szła bardzo długo, było ponad 30 potwierdzeń i jeszcze nie miałem ich na swoim koncie.

Transakcje widzisz u siebie w portfelu już po 0 potwierdzeniach. Do 6 potwierdzeń musisz czekać aby mieć potwierdzone środki.

Który to Twój adres?

[lenny]

Szła bardzo długo, było ponad 30 potwierdzeń i jeszcze nie miałem ich na swoim koncie.

Transakcje widzisz u siebie w portfelu już po 0 potwierdzeniach. Do 6 potwierdzeń musisz czekać aby mieć potwierdzone środki.

Który to Twój adres?

Już od 1 potwierdzenia można wydawać środki. 6 potwierdzeń było bardzo dawno temu, teraz wystarczy tylko 1, zarówno w Bitcoin-Qt jak i w Multibit.

[kujaw]

Chętnie bym to wszystko zrobił, ale totalnie nie mam pojęcia jak. Czy znacie jakieś dobre narzędzie na linuxa, które może zlokalizować trojany, spyware'y itp.? Może jakiś antywirus typu AVG? Póki co znalazłem chrootkit i clamav.
Skoro przy 0 potwierdzeniach powinienem widzieć kasę a było ich ponad 30 i jeszcze nie widziałem to o czym to może świadczyć?

[AdamM]

Skoro przy 0 potwierdzeniach powinienem widzieć kasę a było ich ponad 30 i jeszcze nie widziałem to o czym to może świadczyć?

O tym że po pierwszym ktoś przelał dalej. Pokaż Twój adres, bo ciężko zgadywać.

[kujaw]

1HxRe2bu6LoBpW7JdBHgdNZqnAEkboRfBc

Odpaliłem chkrootkit:

Kod: Zaznacz cały

ROOTDIR is `/'
Checking `amd'...                                           not found
Checking `basename'...                                      not infected
Checking `biff'...                                          not found
Checking `chfn'...                                          not infected
Checking `chsh'...                                          not infected
Checking `cron'...                                          not infected
Checking `crontab'...                                       not infected
Checking `date'...                                          not infected
Checking `du'...                                            not infected
Checking `dirname'...                                       not infected
Checking `echo'...                                          not infected
Checking `egrep'...                                         not infected
Checking `env'...                                           not infected
Checking `find'...                                          not infected
Checking `fingerd'...                                       not found
Checking `gpm'...                                           not found
Checking `grep'...                                          not infected
Checking `hdparm'...                                        not infected
Checking `su'...                                            not infected
Checking `ifconfig'...                                      not infected
Checking `inetd'...                                         not infected
Checking `inetdconf'...                                     not found
Checking `identd'...                                        not found
Checking `init'...                                          not infected
Checking `killall'...                                       not infected
Checking `ldsopreload'...                                   not infected
Checking `login'...                                         not infected
Checking `ls'...                                            not infected
Checking `lsof'...                                          not infected
Checking `mail'...                                          not found
Checking `mingetty'...                                      not found
Checking `netstat'...                                       not infected
Checking `named'...                                         not found
Checking `passwd'...                                        not infected
Checking `pidof'...                                         not infected
Checking `pop2'...                                          not found
Checking `pop3'...                                          not found
Checking `ps'...                                            not infected
Checking `pstree'...                                        not infected
Checking `rpcinfo'...                                       not found
Checking `rlogind'...                                       not found
Checking `rshd'...                                          not found
Checking `slogin'...                                        not infected
Checking `sendmail'...                                      not found
Checking `sshd'...                                          not found
Checking `syslogd'...                                       not tested
Checking `tar'...                                           not infected
Checking `tcpd'...                                          not infected
Checking `tcpdump'...                                       not infected
Checking `top'...                                           not infected
Checking `telnetd'...                                       not found
Checking `timed'...                                         not found
Checking `traceroute'...                                    not found
Checking `vdir'...                                          not infected
Checking `w'...                                             not infected
Checking `write'...                                         not infected
Checking `aliens'...                                        no suspect files
Searching for sniffer's logs, it may take a while...        nothing found
Searching for rootkit HiDrootkit's default files...         nothing found
Searching for rootkit t0rn's default files...               nothing found
Searching for t0rn's v8 defaults...                         nothing found
Searching for rootkit Lion's default files...               nothing found
Searching for rootkit RSHA's default files...               nothing found
Searching for rootkit RH-Sharpe's default files...          nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:  
/usr/lib/pymodules/python2.7/.path /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/jvm/.java-7-oracle.jinfo /usr/lib/jvm/java-7-oracle/lib/missioncontrol/plugins/org.eclipse.core.runtime.compatibility.registry_3.5.100.v20120521-2346/.api_description /usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/.settings /usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/profileRegistry/JMC.profile/.lock /usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/profileRegistry/JMC.profile/.data /usr/lib/jvm/java-7-oracle/lib/visualvm/visualvm/.lastModified /usr/lib/jvm/java-7-oracle/lib/visualvm/platform/.lastModified /usr/lib/jvm/java-7-oracle/lib/visualvm/profiler/.lastModified /usr/lib/jvm/.java-gcj-4.6.jinfo
/usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/.settings /usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/profileRegistry/JMC.profile/.data
Searching for LPD Worm files and dirs...                    nothing found
Searching for Ramen Worm files and dirs...                  nothing found
Searching for Maniac files and dirs...                      nothing found
Searching for RK17 files and dirs...                        nothing found
Searching for Ducoci rootkit...                             nothing found
Searching for Adore Worm...                                 nothing found
Searching for ShitC Worm...                                 nothing found
Searching for Omega Worm...                                 nothing found
Searching for Sadmind/IIS Worm...                           nothing found
Searching for MonKit...                                     nothing found
Searching for Showtee...                                    nothing found
Searching for OpticKit...                                   nothing found
Searching for T.R.K...                                      nothing found
Searching for Mithra...                                     nothing found
Searching for LOC rootkit...                                nothing found
Searching for Romanian rootkit...                           nothing found
Searching for Suckit rootkit...                             nothing found
Searching for Volc rootkit...                               nothing found
Searching for Gold2 rootkit...                              nothing found
Searching for TC2 Worm default files and dirs...            nothing found
Searching for Anonoying rootkit default files and dirs...   nothing found
Searching for ZK rootkit default files and dirs...          nothing found
Searching for ShKit rootkit default files and dirs...       nothing found
Searching for AjaKit rootkit default files and dirs...      nothing found
Searching for zaRwT rootkit default files and dirs...       nothing found
Searching for Madalin rootkit default files...              nothing found
Searching for Fu rootkit default files...                   nothing found
Searching for ESRK rootkit default files...                 nothing found
Searching for rootedoor...                                  nothing found
Searching for ENYELKM rootkit default files...              nothing found
Searching for common ssh-scanners default files...          nothing found
Searching for suspect PHP files...                          nothing found
Searching for anomalies in shell history files...           nothing found
Checking `asp'...                                           not infected
Checking `bindshell'...                                     not infected
Checking `lkm'...                                           chkproc: nothing detected
chkdirs: nothing detected
Checking `rexedcs'...                                       not found
Checking `sniffer'...                                       lo: not promisc and no packet sniffer sockets
wlan0: PACKET SNIFFER(/sbin/wpa_supplicant[1071], /sbin/dhclient[2030])
Checking `w55808'...                                        not infected
Checking `wted'...                                          chkwtmp: nothing deleted
Checking `scalper'...                                       not infected
Checking `slapper'...                                       not infected
Checking `z2'...                                            chklastlog: nothing deleted
Checking `chkutmp'...                                        The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! kujaw        6490 pts/1  bash
! kujaw        7195 pts/1  sudo chkrootkit
! root         7196 pts/1  /bin/sh /usr/sbin/chkrootkit
! root         7837 pts/1  ./chkutmp
! root         7839 pts/1  ps axk tty,ruser,args -o tty,pid,ruser,args
! root         7838 pts/1  sh -c ps axk "tty,ruser,args" -o "tty,pid,ruser,args"
chkutmp: nothing deleted
Checking `OSX_RSPLUG'...                                    not infected

Coś ktoś?

[lenny]

AdamM zadał Ci pytanie?

Możesz sobie debugować wszystko miesiącami, na pewno nic nie znajdziesz, jeśli padłeś ofiarą socjotechniki lub zalogowałeś się na innym kompie, gdzie był trojan.

[kujaw]

Podałem w poprzednim poście, napiszę jeszcze raz 1HxRe2bu6LoBpW7JdBHgdNZqnAEkboRfBc

[AdamM]

lenny, wygląda że chodzi o tę transakcję: https://blockchain.info/pl/tx/aee7ca76c ... 032f31c7c5

Dalej niepotwierdzona. Duża, zero fee. Może jednak ktoś by pomógł koledze zrobić double spenda. Byłoby to całkiem ciekawe.

[lenny]

A rzeczywiście, dzięki.
Ktoś dodał ten adres do swojego zbiorczego portfela i z niego wysłał transakcję, która nie jest jeszcze potwierdzona.
Hacker wysłał to ze starej wersji Bitcoin-Qt, dlatego nie jest potwierdzona! W nowej wersji 0.8.6 limit dla free transactions to 3000 bajtów, zamiast 30k bajtów, dlatego transakcja wisi - bo nikt nie chce jej dołączyć do bloku (narazie).
Jest jeszcze szansa:) kujaw, napisałem Ci PM.

[AdamM]

Jest jeszcze szansa:) kujaw, napisałem Ci PM.

Jakbyście znaleźli łatwe rozwiązanie w postaci gotowego narzędzia to dajcie koniecznie znać.

[bl4ck]

Niezły złodziej... bitki leją się strumieniami do niego.

[lenny]

game over, transakcja potwierdzona, autor nie odezwał się do mnie.
Teraz zostało tylko pozbierać się po tej stracie i znaleźć przyczynę infekcji twoich komputerów. Powodzenia.

[radez9]

game over, transakcja potwierdzona, autor nie odezwał się do mnie.
Teraz zostało tylko pozbierać się po tej stracie i znaleźć przyczynę infekcji twoich komputerów. Powodzenia.

Lenny - poproszę o jakieś dokładniejsze wyjaśnienie co się właściwie stało? Bo tak nie do końca rozumiem - zginęły czy nie w końcu ???

[kujaw]

Fuck, spóźniony ;[
Teraz pytanie, co mam zrobić, żeby znaleźć tę przyczynę?