JamesBolivar (OP)
|
|
February 26, 2014, 04:41:38 PM |
|
Laut https://www3.trustwave.com/support/labs/check-compromised-bitcoin.asp bin ich nicht betroffen. Soweit ich das nicht falsch verstanden habe. Die Standard-Adresse (1BSC7CZKr1WmzasWw3dwkoAMsihcJKsJxt) ist doch mein Public Key? So sehen die Transaktionsdaten aus. Die Empfängeradresse ist über Google mehrfach zu finden. Status: 355 Bestätigungen Datum: 24.02.2014 16:13 An: 1Knd3XwyDcVKFHLKd67kSyXnPGnTtq7BeE Belastung: -0.20556365 BTC Transaktionsgebühr: -0.0002 BTC Nettobetrag: -0.20576365 BTC Transaktions-ID: 9bc8129723b750005381134d46715240d04e5430d84db5c79888e5bd35220925 Dass ich versäumte meinen Private Key zu verschlüsseln, ist ein klassisches Eigentor. Nein, deine BTC Adresse ist nur der Hash deines PK´s D. h. die verlinkte Seite mit der Adresse zu füttern, um zu prüfen, ob ich betroffen bin ist: a) falsch und mein Ergebnis ebenso, weswegen ich was genau eingebe? b) richtig, weswegen auch das Ergebnis stimmt, was aber auch nicht bei der Suche nach möglichem Befall hilft?
|
|
|
|
OnkelPaul
Legendary
Offline
Activity: 1039
Merit: 1005
|
|
February 26, 2014, 04:46:38 PM |
|
D. h. die verlinkte Seite mit der Adresse zu füttern, um zu prüfen, ob ich betroffen bin ist:
a) falsch und mein Ergebnis ebenso, weswegen ich was genau eingebe? b) richtig, weswegen auch das Ergebnis stimmt, was aber auch nicht bei der Suche nach möglichem Befall hilft?
a) - weil die Seite einen public key und nicht eine Adresse will. Wie man an den public key kommt? Wusste ich auch nicht auswendig, deswegen habe ich gegoogelt und das gefunden: http://bitcoin.stackexchange.com/questions/20718/how-to-export-public-key-for-an-address-in-bitcoin-qtOnkel Paul
|
|
|
|
JamesBolivar (OP)
|
|
February 26, 2014, 07:13:31 PM |
|
Danke dafür. Immer noch negativ. Allerdings zeigt die Ergebnisseite den nicht gefundenen Public Key um 16 Stellen verkürzt an.
Nun nehme ich an, entweder ist ein Ableger dieses oder eines ähnlichen Botnetz auf meiner Kiste. Mal sehen, was ich finde :/
|
|
|
|
poorminer
|
|
February 26, 2014, 08:11:05 PM Last edit: February 26, 2014, 08:22:35 PM by poorminer |
|
Ah, ich seh schon, du hattest die Adresse 1BSC7CZKr1WmzasWw3dwkoAMsihcJKsJxt mehrfach benutzt? Das macht einen k Angriff in polynomialer Zeit möglich. (Dafür ist kein Trojaner notwendig, sondern die können direkt von der Blockchain abbuchen, weil dein Privkey offen liegt). Trotzdem macht das noch nicht ganz Sinn, weil derjenige ja auch hätte alles abbuchen können. Nach meiner Info sollten da aber noch 0.03140806 BTC drauf sein! Auch vom Aufwand her komplett sinnlos. Niemand würde sich die Mühe wegen 0,2 BTC machen! Das ist ja praktisch gar nix. Gefährdet sind eher Guthaben ab 1000BTC, alles andere ist Peanuts. Wieso sollte der Hacker nur einen Teil abbuchen? Irgendwie kommt mir das eher nach einem Bedienungsfehler vor! Sicher, dass es nicht andere Erklärungsmöglichkeiten gibt, irgendwelche im Hintergrund laufende Schnittstellen oder so? Oder ein vielleicht ein Softwarefehler, weil laut Blockchain hast du ja noch Guthaben! Die Bitcoinsoftware ist ja so ein Schrott, habe mir den Sourcecode angesehen, übel, übel. Von Informatikstudenten im ersten Semester zusammengeschustert.
|
|
|
|
JamesBolivar (OP)
|
|
February 26, 2014, 08:37:04 PM |
|
Das Guthaben ist jünger. Zum Zeitpunkt der Transaktion war exakt der übertragene Betrag verfügbar. Der Rest kam erst danach.
Ein Bedienfehler ist ausgeschlossen, da die Wallet zuletzt am Sonntag aktiv war, und nach dem Start zunächst mehr als zehn Stunden zu syncronisieren hatte, bevor sie auf die Transaktion stieß. Es sind auch nur drei Adressen von Exchanges erfasst und die Zieladresse ist völlig unbekannt. Am Montag habe ich am PC gearbeitet, und hätte bemerkt, wenn die Wallet gestartet worden wäre.
Die Adresse wird täglich von Middlecoin genutzt, um die Miningerträge zu transferieren und sie ist über deren Website mit statistischen Daten öffentlich einsehbar. Bei Middlecoin werden Walletadressen anstelle von Benutzeraccounts verwendet.
|
|
|
|
Tinua
|
|
February 26, 2014, 10:16:43 PM |
|
Ah, ich seh schon, du hattest die Adresse 1BSC7CZKr1WmzasWw3dwkoAMsihcJKsJxt mehrfach benutzt? Das macht einen k Angriff in polynomialer Zeit möglich. (Dafür ist kein Trojaner notwendig, sondern die können direkt von der Blockchain abbuchen, weil dein Privkey offen liegt).
Kannst du das mal für einfache Leute-Sprache erklären. Weshalb soll mein Privatkey offen liegen?
|
|
|
|
poorminer
|
|
February 27, 2014, 12:09:59 AM Last edit: February 27, 2014, 12:28:42 AM by poorminer |
|
Kannst du das mal für einfache Leute-Sprache erklären. Weshalb soll mein Privatkey offen liegen?
Na, das ist eigentlich ganz einfach! Ich versuch es mal laienhaft zu erklären. Mit jeder Auszahlung lieferst du Informationen über deinen Privkey, also es wird jedesmal mathematisch "einfacher", weil du Korrelationen ermöglichst. Das soll aber nicht heißen, dass es insgesamt einfach wäre oder schnell ginge. Es ist trotzdem mathematisch nicht wirklich einfach und mit viel Rechenaufwand verbunden. Hierbei zählen aber nur die Auszahlungen, d.h. mit jeder Auszahlung wird das Ganze unsicherer, daher verwenden manche Leute Einmaladressen für größere Beträge bzw. Adressen, auf die nur Bitcoins einfließen, aber keine ausgezahlt werde. Für den Fall des James Bolivar spielt es eher keine Rolle, da sich das für so winzige Beträge nicht lohnen würde. Könnte natürlich auch nur ein gewöhnlicher Trojaner sein. Eher sogar! ---------------------- Mathematisch funktioniert das Ganze nach dem Prinzip: Nguyen and Shparlinski have recently presented a polynomial-time algorithm that provably recovers the signer’s secret DSA key when a few consecutive bits of the random nonces k (used at each signature generation) are known for a number of DSA signatures at most linear in log q (q denoting as usual the small prime of DSA), under a reasonable assumption on the hash function used in DSA. The number of required bits is about log1/2q, but can be decreased to log log q with a running time qO(1/log log q) subexponential in log q, and even further to two in polynomial time if one assumes access to ideal lattice basis reduction, namely an oracle for the lattice closest vector problem for the infinity norm. All previously known results were only heuristic, including those of Howgrave-Graham and Smart who introduced the topic. Here, we obtain similar results for the elliptic curve variant of DSA (ECDSA).
....
Our attack has been validated experimentally. Using a standard workstation, we can most of the time recover in a few minutes the signer's ECDSA 160-bit secret key when only l = 3 least significant bits of the nonces are known for about 100 signatures. Quelle: P. Nguyen and I. Shparlinski. The insecurity of the elliptic curve signature algorithm with partially known nonces.Uralter Artikel zwar, aber der Unterschied zwischen Einmaladressen und mehrfach benutzbaren dürfte klar geworden sein!?
|
|
|
|
poorminer
|
|
February 27, 2014, 12:26:01 AM |
|
Das Guthaben ist jünger. Zum Zeitpunkt der Transaktion war exakt der übertragene Betrag verfügbar. Der Rest kam erst danach.
Ein Bedienfehler ist ausgeschlossen, da die Wallet zuletzt am Sonntag aktiv war, und nach dem Start zunächst mehr als zehn Stunden zu syncronisieren hatte, bevor sie auf die Transaktion stieß. Es sind auch nur drei Adressen von Exchanges erfasst und die Zieladresse ist völlig unbekannt. Am Montag habe ich am PC gearbeitet, und hätte bemerkt, wenn die Wallet gestartet worden wäre.
Die Adresse wird täglich von Middlecoin genutzt, um die Miningerträge zu transferieren und sie ist über deren Website mit statistischen Daten öffentlich einsehbar. Bei Middlecoin werden Walletadressen anstelle von Benutzeraccounts verwendet.
Ok, mal eine direkte Frage: Du hattest das wallet verschlüsselt, oder? Ich meine mit einer Passphrase versehen!
|
|
|
|
Sophokles
|
|
February 27, 2014, 06:21:12 AM |
|
Das Guthaben ist jünger. Zum Zeitpunkt der Transaktion war exakt der übertragene Betrag verfügbar. Der Rest kam erst danach.
Ein Bedienfehler ist ausgeschlossen, da die Wallet zuletzt am Sonntag aktiv war, und nach dem Start zunächst mehr als zehn Stunden zu syncronisieren hatte, bevor sie auf die Transaktion stieß. Es sind auch nur drei Adressen von Exchanges erfasst und die Zieladresse ist völlig unbekannt. Am Montag habe ich am PC gearbeitet, und hätte bemerkt, wenn die Wallet gestartet worden wäre.
Die Adresse wird täglich von Middlecoin genutzt, um die Miningerträge zu transferieren und sie ist über deren Website mit statistischen Daten öffentlich einsehbar. Bei Middlecoin werden Walletadressen anstelle von Benutzeraccounts verwendet.
Ok, mal eine direkte Frage: Du hattest das wallet verschlüsselt, oder? Ich meine mit einer Passphrase versehen! Hat er nicht. Steht oben im Thread schon.
|
|
|
|
JamesBolivar (OP)
|
|
March 01, 2014, 08:13:56 AM |
|
Das scheint mir auf eine Backdoor hinzuweisen: Google liefert eine Reihe von Threads aus Januar in diversen Trojaner-Boards, die dieselbe Proxy-Einstellung zum Thema haben. Selbstredend ist das nicht von mir so eingerichtet worden. Empfehle jedem, die Verbindungseinstellungen seines Systems zu kontrollieren. Möglicherweise ist da was ganz neues unterwegs, mit dem u. a. aus dem Netzwerktraffic PWs und dergleichen abgefischt werden.
|
|
|
|
qwk
Donator
Legendary
Offline
Activity: 3542
Merit: 3413
Shitcoin Minimalist
|
|
March 01, 2014, 08:28:35 AM |
|
Das scheint mir auf eine Backdoor hinzuweisen: [ windows proxyeinstellungen ]
Kenne mich nicht so gut mit Windows aus, aber das sieht danach aus, als hätte der Trojaner einen Proxy auf deinem eigenen Rechner installiert, über den dein Internetverkehr abgegriffen wird. Das heißt aber auch, dass der Trojaner dauerhaft als Prozess laufen muss, sonst geht dein Internet nicht mehr. Ergo muss der Trojaner in deinem Taskmanager zu sehen sein.
|
Yeah, well, I'm gonna go build my own blockchain. With blackjack and hookers! In fact forget the blockchain.
|
|
|
JamesBolivar (OP)
|
|
March 01, 2014, 08:47:11 AM |
|
Der Trojaner ist in der Taskliste nicht zu sehen aber definitiv aktiv. Die Proxy-Einstellung wird nach manuellen Veränderungen erneut verbogen. Ich gehe als nächstes alle Threads in den Trojaner-Boards sorgfältig durch, bevor ich mich an die Behebung wage. Werde in jedem Fall hier berichten, was dabei heraus kam.
|
|
|
|
cagrund
Legendary
Offline
Activity: 1372
Merit: 1000
CTO für den Bundesverband Bitcoin e. V.
|
|
March 01, 2014, 09:05:13 AM |
|
Lade Dir mal den Process-Explorer runter ( http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx ) Damit findest Du schnell raus welcher Prozess auf den 127'er Ports lauscht. Gruss Carsten. EDIT: Prüfe auch auf jeden Fall die Add-Ons, es kann auch sein dass der Schädling sich direkt im IE als Add-On eingeklingt hat. Hast Du evtl. auch FF, dann dort auch mal die Internet-Proxy prüfen.
|
|
|
|
JamesBolivar (OP)
|
|
March 01, 2014, 10:10:05 AM |
|
Nur sichere Addons wie VLC, WMP und die MS-Klamotten. Auf Localhost lauschen einige svhost, aber keiner auf diesem Port. Gibts einen Weg, die Anzeige vom Prozess Explorer so zu erweitern, dass man nicht erst zu jedem Prozess die Eigenschaften aufrufen muss?
|
|
|
|
stiftmaster
Sr. Member
Offline
Activity: 245
Merit: 250
After Hack Now User 5tift
|
|
March 01, 2014, 11:56:06 AM |
|
per rechtsklick kannst du glaube ich unwichtiges exkludieren
|
|
|
|
Serpens66
Legendary
Offline
Activity: 2954
Merit: 1131
|
|
March 01, 2014, 12:17:02 PM |
|
Empfehle jedem, die Verbindungseinstellungen seines Systems zu kontrollieren. Möglicherweise ist da was ganz neues unterwegs, mit dem u. a. aus dem Netzwerktraffic PWs und dergleichen abgefischt werden.
wie /wo überprüft man sowas denn? Einfach mal in google sein System und "proxyeinstellungen" suchen, und dann findet man ne Anleitung, oder ist das komplizierter?
|
Mit Cointracking (10% Rabatt) behältst du die Übersicht über all deine Trades und Gewinne. Sogar ein Tool für die Steuer ist dabei Great Freeware Game: Clonk Rage binance.com hat nun auch SEPA und EUR Paare! Mit dem RefLink bekommst du 5% Rabatt auf die Tradinggebühren!
|
|
|
scranagar
|
|
March 01, 2014, 12:48:48 PM |
|
wie /wo überprüft man sowas denn? Einfach mal in google sein System und "proxyeinstellungen" suchen, und dann findet man ne Anleitung, oder ist das komplizierter?
Ist ganz einfach... Systemsteuerung aufrufen --> "Netzwerk und Internet" aufrufen (dieser Schritt fällt weg bei Windows XP) --> Internetoptionen anklicken --> Registerkarte "Verbindungen" --> Button "LAN-Einstellungen" anklicken und dort darf das Häkchen "Proxyserver für LAN verwenden..." nicht gesetzt sein (es sei denn, Du benutzt bewusst einen Proxyserver).
|
|
|
|
stiftmaster
Sr. Member
Offline
Activity: 245
Merit: 250
After Hack Now User 5tift
|
|
March 01, 2014, 12:59:12 PM |
|
Für die Konsolenfreunde unter xp gibt es den befehl unter win7 ist das alles unter netsh gewandert liest beides die Registry nach konfigurierten Proxys aus, soweit ich mich erinner
|
|
|
|
cagrund
Legendary
Offline
Activity: 1372
Merit: 1000
CTO für den Bundesverband Bitcoin e. V.
|
|
March 02, 2014, 10:10:50 AM |
|
Gibts einen Weg, die Anzeige vom Prozess Explorer so zu erweitern, dass man nicht erst zu jedem Prozess die Eigenschaften aufrufen muss?
Ja. 1. Klicke oben auf " Show Process of all user" 2. Unter " View" Hacken setzen bei " Show Unnamed Handles and Mappings" 3. Unter " View" ganz unten auf " Select Columns..." klicken. 4. Im neuen Fenster auf den Reiter " Process Network" 5. Dort Hacken bei " Receives", " Sends" & " Other" setzen, mit " Okay" raus. Nun werden Dir in der Übersicht zu jedem Prozess die Anzahl der gesendeten / empfangenen Netzwerkpakete angezeigt. Das gibt Dir schon mal einen guten Überblick welche Prozesse überhaupt in Frage kommen. Jetzt einfach mal mit dem aktiven Proxy sufen "Heise ... Bild ... etc." Dann solltest Du recht schnell sehen welcher Prozess Traffic hat und kannst diesen dann genauer untersuchen. Eine Alternative wäre die Verwendung von Wireshark ... das ist aber deutlich komplizierter und setzt umfangreiche Kenntnise der TCP/IP Protokolle & Layer vorraus. Gruss Carsten.
|
|
|
|
hartvercoint
|
|
March 02, 2014, 06:11:50 PM |
|
Das scheint mir auf eine Backdoor hinzuweisen
Du benutzt seit 5 Tagen ein offensichtlich kompromittiertes System. Man sollte eigentlich meinen, dass ein (wenn auch verkraftbarer) finanzieller Verlust ein gewisses Sicherheitsbewusstsein schafft. Stattdessen planst du sogar, es weiterhin zu benutzen. Ich gehe als nächstes alle Threads in den Trojaner-Boards sorgfältig durch, bevor ich mich an die Behebung wage. Kompetent programmierte Malware wirst du niemals mit 100%-iger Sicherheit von deinem System entfernen können. Mach die Kiste platt! Damit sparst du definitiv Zeit und vielleicht auch den nächsten finanziellen Ausfall. Zu glauben, dass Du das Problem als Laie zuverlässig beheben kannst, ist äußerst naiv!
|
|
|
|
|