nevabank (OP)
Newbie
 Offline
Activity: 15
Merit: 2
|
 |
June 03, 2016, 11:36:01 PM |
|
Уважаемые коллеги и пользователи форума, угнали 52000 BTC-e кода с биржи BTC-e и 14 bitcoin Скрин прикрепил: http://s03.radikal.ru/i176/1606/d2/91a6832c6946t.jpgБыло два ключа Api с методами coupon и withdrawal (блокировка по IP) Тикет в поддержку BTC-e через два часа, быстрый ответ (отдаю честь): Добрый день
Аккаунты заблокировали, но с баланса уже вывели в bitcoin.
По данным IP/User_Agent запросим в тех. отделе. Логи сервера (на IP которого блокировка) чистые на момент совершения кражи, подозрительной активности нет в момент взлома. На новые запросы пока не отвечают ( о том на какие кошельки вывели и логины) Адрес 13393oQXKRfAxcoxDeLUXJ9nFdhCqEuSa9 похитителя, пытаюсь понять куда будет двигаться. Поделитесь мыслями как вернуть/найти похитителей, какие есть листы блокировок и как достучаться к биржам по поиску хакера, всем благодарен и признателен. Понимаю что маловероятно, но для платного опыта  |
|
|
|
|
|
Xantrax
|
|
June 04, 2016, 01:28:14 AM |
|
Скрин с тетриса делали? Как воры вывод подтвердили и вообще? Какая почта была? Не понял с белыми ип.. Вот сервис который отображает принадлежность бтк адресов биржам: https://www.walletexplorer.com |
|
|
|
|
nevabank (OP)
Newbie
Offline
Activity: 15
Merit: 2
|
|
June 04, 2016, 02:55:15 AM |
|
Скрин с тетриса делали? Как воры вывод подтвердили и вообще? Какая почта была? Не понял с белыми ип.. Вот сервис который отображает принадлежность бтк адресов биржам: https://www.walletexplorer.comПро тетрис не понял, но не важно Там видно, что вывели через API BTC-e, по крайней мере bitcoin, нашим ключем API, он принимает подписанные запросы только с IP сервера. За ссылку благодарю! Жду пояснений и данных от BTC-e |
|
|
|
|
|
Xantrax
|
|
June 04, 2016, 04:04:47 AM |
|
Скрин с тетриса делали? Как воры вывод подтвердили и вообще? Какая почта была? Не понял с белыми ип.. Вот сервис который отображает принадлежность бтк адресов биржам: https://www.walletexplorer.comПро тетрис не понял, но не важно Там видно, что вывели через API BTC-e, по крайней мере bitcoin, нашим ключем API, он принимает подписанные запросы только с IP сервера. За ссылку благодарю! Жду пояснений и данных от BTC-e Ищите лазейку в вашем сайте. Предполагаю что именно через его уязвимость хакер получил доступ к api. Но тогда как он вывел баксы кодами? Что с почтой? Аккаунт был на корпоратике сайта? |
|
|
|
|
nevabank (OP)
Newbie
Offline
Activity: 15
Merit: 2
|
|
June 04, 2016, 04:28:14 AM |
|
Ищите лазейку в вашем сайте. Предполагаю что именно через его уязвимость хакер получил доступ к api.
Но тогда как он вывел баксы кодами? Что с почтой? Аккаунт был на корпоратике сайта?
Как то получил кто-то доступ к серверу, понятное дело. Сам сайт вряд ли, скорее именно настройки сервера или доступы к нему, 0-day или иной способ проникновения. Для вывода методом Coupon через API подтверждения не надо |
|
|
|
|
|
Xantrax
|
|
June 04, 2016, 05:51:55 AM |
|
Ищите лазейку в вашем сайте. Предполагаю что именно через его уязвимость хакер получил доступ к api.
Но тогда как он вывел баксы кодами? Что с почтой? Аккаунт был на корпоратике сайта?
Как то получил кто-то доступ к серверу, понятное дело. Сам сайт вряд ли, скорее именно настройки сервера или доступы к нему, 0-day или иной способ проникновения. Для вывода методом Coupon через API подтверждения не надо Смотрите пм. |
|
|
|
|
CryptInvest
Legendary
Offline
Activity: 2156
Merit: 1132
|
|
June 04, 2016, 09:56:54 AM |
|
Неужели нельзя было хранить их в "холодном" кошельке и заводить по мере необходимости?
|
|
|
|
|
nevabank (OP)
Newbie
Offline
Activity: 15
Merit: 2
|
|
June 04, 2016, 11:02:08 AM |
|
Неужели нельзя было хранить их в "холодном" кошельке и заводить по мере необходимости?
Коды BTC-e хранить надо в холодном кошельке? Сейчас не о том просьба (я ищу возможность отследить далее куда пошли битки), я все понимаю сам прекрасно, битки у нас не увели с кошельков BTC рабочих (у нас даже "горячих" кошельков нет ключей на сервере), только с аккаунта BTC-e через ключ АПИ (тут конечно виноваты, уже сделали свое решение, вместо BTC-e, у которых нет возможности только АПИ погашения использовать, у них у COUPON и погашение и выпуск кодов) |
|
|
|
|
nevabank (OP)
Newbie
Offline
Activity: 15
Merit: 2
|
|
June 05, 2016, 11:33:30 AM |
|
BTC-e предоставили информацию:
Первый аккаунт взломщика5 login success login 188.120.207.1 03.06.16 21:09 4 login success login 85.234.200.39 12.05.16 12:33 3 logout logout use logout button 85.234.200.39 12.05.16 12:33 2 edit email confirmed owerapyb@yandex.ru 85.234.200.39 12.05.16 12:33 1 site_reg success registration 85.234.200.39 12.05.16 12:31 обмен на бирже 26000 USD 1) -46.83884017 BTC Вывод BTC на адрес 1KWL7GHyqpAFny38uwEgW52m5qNb14HgPH 03.06.16 21:19:16
Второй аккаунт вломщика:5 login success login 88.101.106.143 03.06.16 21:10 4 edit email confirmed namaxihim@yandex.ru 81.223.94.195 12.05.16 12:39 3 login success login 81.223.94.195 12.05.16 12:37 2 logout logout use logout button 81.223.94.195 12.05.16 12:37 1 site_reg success registration 81.223.94.195 12.05.16 12:36 тут были обмены украденных BTC-e кодов на биткоин 3) -9.95716408 BTC Вывод BTC на адрес 1DDgy6cAN9iRZRe31Uf235U4JonY6TiBKT 03.06.16 в 21:20:11 2) -10.42560038 BTC Вывод BTC на адрес 1NBVP1t9H6wFnnvVEWBwNLVMsdJKF6czbS 03.06.16 в 21:17:29 1) -28.24371508 BTC Вывод BTC на адрес 1GTS5L4ewtirSiojZRhdznvn47QjQueHu7 03.06.16 в 21:14:06 |
|
|
|
|
happa
Newbie
Offline
Activity: 11
Merit: 0
|
|
June 05, 2016, 09:28:16 PM |
|
Айпишники грязные, видимо прокся висит на них, сейчас отслеживать битки можно, но если их завести куда-нибудь к китайцам или в хайпы/майнинг, то потом об их судьбе уже никто не узнает.
|
|
|
|
|
markmun
Newbie
Offline
Activity: 28
Merit: 0
|
|
June 06, 2016, 09:29:06 PM |
|
Айпишники грязные, видимо прокся висит на них, сейчас отслеживать битки можно, но если их завести куда-нибудь к китайцам или в хайпы/майнинг, то потом об их судьбе уже никто не узнает.
Битки скорее всего ушли сразу на миксер, который за скромные 0,5% их перемешает с чужими монетами и мошенники получат уже совершенно другие "незапачканные" биткоины, а эти пойдут в совершенно другое плаванье. Сомневаюсь что вот такие суммы воруют дилетанты, которые не знают как их грамотно отбелить и обналичить, так что искать по биржам довольно бесполезное занятие, как по мне. Сейчас главное не допустить повторения. Если говорите была привязка, а логи сервера чистые, заказывайте сторонний аудит вэб скриптов, ибо где-то дыра и не исключено, что до сих пор незакрытая. |
|
|
|
|
nukihei1976
Newbie
Offline
Activity: 48
Merit: 0
|
|
June 07, 2016, 08:35:13 AM |
|
Жалко конечно, но уже точно не вернёшь. Отдельный ноут был для крипты? Линукс стоял или винда?
|
|
|
|
|
|
daiyuba1971
|
|
June 07, 2016, 08:38:18 AM |
|
Мне кажется, что была винда всё-таки. Сейчас столько вирусни на неё сделано. Двухфакторная авторизация стояла?
|
|
|
|
|
sega
Member
Offline
Activity: 106
Merit: 10
|
|
June 07, 2016, 11:30:59 AM |
|
Для вывода методом Coupon через API подтверждения не надо
ух ты, я не знал... |
|
|
|
|
|
Mersedes
|
|
June 07, 2016, 02:41:38 PM |
|
Неужели нельзя было хранить их в "холодном" кошельке и заводить по мере необходимости?
Сейчас этот вопрос уже риторический. Проблема уже есть и надо решать. |
|
|
|
|
|
cryptoman77777
|
|
June 09, 2016, 06:57:31 PM |
|
разве возможно еще вернуть эти битки ?
|
|
|
|
sega
Member
Offline
Activity: 106
Merit: 10
|
|
June 09, 2016, 10:58:32 PM |
|
разве возможно еще вернуть эти битки ?
ну если найти воров и пообещать дядям в погонах часть, то вполне. |
|
|
|
|
|
