Mixed mining Poolserver https://miner.ecki.net:444

[yxt]

ANNOUNCEMENT :
Join our Special Game to win one of our May 2013 Holiday Packages in Koh Samui, Thailand. All you need to do is mine at least 5,000 shares in our GPU and FPGA pools every month starting this May 2012 until May next year. You will be given four(4) tickets to play our Number Game for free. The game will play at the end of each month and whoever gets the matching result of the first block that is found earns one(1) point. The top three(3) highest earners at the end of our Special Game wins the Holiday Packages

 

Ich warte aber gerne bis am 4.November für eine Erklärung für Dummys!  Grin

Kommt die heute auch noch?

[Sumnam]

Ja, dann Glückwunsch zum 1. Geburtstag, auch wenn ich erst skeptisch war

Wäre ja schön wenn der Monsterblock dann auch noch zum Geburtstag geknackt wird, ich kann ja auch mal wieder ein paar GH spenden.
Ich will ja nicht schwarzmalen, aber bei EMC hatten wir die letzten Tage Blöcke mit 16 Mio und 21 Mio Shares.   


Gruß,
PDM_Miner

[ewibit]

Heute existiert unser Pool genau ein Jahr!
Herzlichen Glückwunsch zum einjährigem Geburtstag!

auch von mir happy B...
 

[eckmar]

Jemand versucht gerade unseren Pool zu hacken... deshalb wurde der WEB Zugriff im Moment komplett abgeschaltet.

Es wird Änderungen beim einloggen geben (müssen), d.h. wir generieren im Moment für jeden Benutzer eine persönliche SMO Adresse und verschicken diese nach Änderung des Kennwortes an die im Pool hinterlegte Email Adresse.

Wenn das WEB Frontend heute Abend wieder online kommt, dann muss sich jeder Benutzer mit dieser SMO Adresse statt mit seinem Benutzernamen anmelden.

Auch das Passwort zum einloggen muss beim ersten Einloggen jetzt geändert werden.
Das neue Passwort muss mindestens aus 12 Zeichen bestehen, große- & kleine Buchstaben, Zahlen und Sonderzeichen enthalten.
(Mindestens ein Benutzerkonto (mit einem schwachen Passwort) wurde erfolgreich gehackt und es wurde versucht auf ein bisher unbekanntes Konto auszucashen.)

D.h. also beim ersten Einloggen ist das Passwort noch das Alte, aber man wird aufgefordert ein Neues einzugeben und das muss dann obigen (schärferen) Kriterien entsprechen.

Alle Auszahlungsanforderungen sind z.Z. "angehalten" und werden von mir erst per PM überprüft und dann einzeln angewiesen.

Die gewählten Benutzernamen werden weiterhin in den TOP10 Listen angezeigt und sind praktisch der "öffentliche" Name.
Die persönliche SMO Adresse sollte jeder geheim halten, sie ist wie ein Schlüssel und dient in Verbindung mit dem Kennwort dem Zugang zum Benutzerkonto!

Trotz allem mit sonnigem Gruß von der Insel,
 Ecki

Edit: 22.00 Uhr Ortszeit Thailand, die WEB Seite ist wieder online. Das Kennwort MUSS beim ersten Login geändert werden, nachdem das Kennwort geändert ist wird eine persönliche SMO Adresse an die im Pool hinterlegte Email Adresse geschickt und dann ist nur noch ein Login mit der persönlichen SMO Adresse möglich!
Edit2: Der Hacker kam über das TOR Netzwerk und deshalb ist die Rückverfolgung anhand der IP Adressen leider nicht möglich.
Edit3: Aus gegebenem Anlass möchte ich es noch einmal klarstellen: Der ehemalige Benutzername wird durch die persönliche SMO Adresse ersetzt. Die SMO Adresse wird an die im Pool hinterlegte Email-Adresse verschickt, sobald das Kennwort durch ein sicheres (komplexes) Kennwort ersetzt wurde.
Ich sehe immer wieder fehlgeschlagene Login-Versuche bei denen versucht wird mit dem alten Benutzernamen und der SMO Adresse als Kennwort einzuloggen. Das wird so nicht funktionieren! Username=SMO Adresse und Kennwort=das neue, komplexe Kennwort das man selber gewählt hat bei der Kennwortänderung nach dem ersten Einloggen. Jetzt alles klar?

[eckmar]

Kennt jemand diese Adressen oder hat dorthin schon mal was überwiesen oder von dort etwas erhalten?

BTC: 181pyb5pQogWYTBDf2VRHuHDNVCJeNLqEC
LTC: LKuTz3uBh5yVc6hpDRSbS6iNS3syCD7c6A

Danke für eventuelle Info.

Mit sonnigem Gruß von der Insel,
 Ecki

[hekiman]

Nachdem ich mein Passwort geändert habe existiert mein user nicht mehr.  Mail mit Link ist auch keines gekommen.

[eckmar]

Hallo Heckiman,

Nachdem ich mein Passwort geändert habe existiert mein user nicht mehr.  Mail mit Link ist auch keines gekommen.

Bist du sicher, das du mein Nachricht gelesen und verstanden hast?  
Wie kannst du dich denn einloggen, wenn du die SMO Adresse noch gar nicht bekommen hast?

Du musst warten bis du die Email bekommen hast, denn nur mit dieser SMO Adresse (die nur du kennst) kannst du dich zukünftig noch einloggen.
Den Benutzer heckiman gibt es nicht mehr, es gibt nur noch den Benutzer mit deiner persönlichen SMO Adresse der aber als Benutzer "heckiman" der Öffentlichkeit angezeigt wird.

Damit ist auch keiner mehr von "außen" in der Lage sich als Benutzer "heckiman" 10 mal mit falschem Passwort einzuloggen und damit dein Benutzerkonto zu sperren. (Solange keiner deine persönliche SMO Adresse kennt!)

Bitte schaue auch mal in deinem SPAM Ordner nach und warte einfach, bis die Email angekommen ist.

Mit nächtlichem Gruß von der Insel,
 Ecki

P.S.: Bitte vermeide zukünftig doppelte Nachrichten. Entweder als PM ODER als öffentliche Nachricht, aber beides macht mir nur doppelte Arbeit... Danke. 

[SShadow]

Morg`N,

Bedauerlich wenn sowas passiert.

Wurden auch andere Accounts kompromittiert ausser dem/denen die ein schwaches Kennwort hatten bzw. gab es dann weitergehende Zugriffe ins System?


sdG SShadow

PS: neuer Login funzt so wie angegeben
PPS: GZ@1Year ecki mining Poolserver

[eckmar]

...
Wurden auch andere Accounts kompromittiert ausser dem/denen die ein schwaches Kennwort hatten bzw. gab es dann weitergehende Zugriffe ins System?
...

Ich bitte um Verständnis dafür, dass wir nicht alle Details veröffentlichen solange unsere Recherchen noch nicht abgeschlossen sind.
Was ich aber schon schreiben kann, ist das wir weitere Veränderungen in Bezug auf die Sicherheit vornehmen werden.
So werden wir z.B. nächste Woche die 4 stellig PIN die man u.a. zum auscashen benötigt, auf eine 6 stellige PIN abändern und das Benutzerkonto nach 5 Fehlversuchen komplett sperren.

Außerdem haben wir heute den Passwort Reset Link deaktiviert.
Also Leute seit bitte so gut und MERKT euch euer geändertes Kennwort gut!

Ihr könnt zwar unter "Account Details" im Bereich "Change Password" jederzeit euer Kennwort ändern, aber eben nur, wenn ihr euer altes Kennwort noch kennt!
Das Zurücksetzen eures Kennwortes OHNE die Kenntnis vom ALTEN Kennwort ist z.Z. und bis auf weiteres NICHT möglich!

Das Ganze macht zwar die Bedienung etwas "unbequemer", aber es kann nicht sein, das wir es Hackern SOOO einfach machen und Kennwörter & PINs erraten werden können und Benutzernamen (zum hacken) in den TOP10 Listen aufgelistet werden...  

In diesem Sinne & gute Nacht,
 Ecki

Edit (12.11.2012 21.00 Uhr): Die PINs müssen jetzt auf 6 Ziffern geändert werden, nach 5 Fehleingaben der PIN beim auscashen wird das Account gesperrt und kann nur durch einen Administrator manuell wieder entsperrt werden.

[hekiman]

Bist du sicher, das du mein Nachricht gelesen und verstanden hast?  

gelesen ja, aber eine "SMO-Adresse" sagt mir nichts. Auch google bringt mich da nicht viel weiter.

Wie kannst du dich denn einloggen, wenn du die SMO Adresse noch gar nicht bekommen hast?

Über die Loginbox auf der Startseite. Die ist immer noch da. Und dort kommt die Meldung, dass mein Benutzer nicht mehr existiert was mich "etwas" beunruhigt hat.

Du musst warten bis du die Email bekommen hast, denn nur mit dieser SMO Adresse (die nur du kennst) kannst du dich zukünftig noch einloggen.

Und das soll sicherer sein als ein langes Passwort? Bei der Verwendung eines Proxy steht meine superdupergeheime Url im Logfile des Proxy!

Mit nächtlichem Gruß von der Insel,

Wünsch Dir eine gute Nacht und erhohl dich gut. Es wartet sicher noch genug Arbeit auf Dich.

[eckmar]

Es scheint so, als wenn der Hacker nicht sehr glücklich darüber ist, das wir die Sicherheitsmaßnahmen verstärkt haben und er jetzt keine Benutzernamen mehr zum hacken von außen hat. 

Jedenfalls war die WEB Seite heute Nacht mehrere Stunden lang unter DDOS "Beschuss" und vermutlich von außen schlecht bis gar nicht erreichbar. 

Im Moment 9.00 Uhr Ortszeit Thailand ist die Seite von außen allerdings "normal" erreichbar.

In Q1 2013 werden wir die WEB Seite und/oder den JAVA Server über das I2P Netzwerk erreichbar machen und hoffen so zukünftig dann damit auch DDOS Attacken abwehren zu können.

Wir lassen uns das Wochenende natürlich von solchen "Kleinigkeiten" nicht vermiesen und fahren jetzt an den Strand...

Mit sonnigem Gruß von der Urlaubsinsel,
 Ecki

[eckmar]

Bist du sicher, das du mein Nachricht gelesen und verstanden hast?  

gelesen ja, aber eine "SMO-Adresse" sagt mir nichts. Auch google bringt mich da nicht viel weiter.

Eventuell solltest du mal nicht per Google weltweit nach SMO suchen, sondern einfach nur hier lokal in diesem Thread?
Oder einfach diesem Link folgen: https://bitcointalk.org/index.php?topic=50862.msg1101869#msg1101869

Wie kannst du dich denn einloggen, wenn du die SMO Adresse noch gar nicht bekommen hast?

Über die Loginbox auf der Startseite. Die ist immer noch da. Und dort kommt die Meldung, dass mein Benutzer nicht mehr existiert was mich "etwas" beunruhigt hat.

Irgendwie scheinst du es wirklich noch nicht verstanden zu haben...
Du musst als "username" beim Login deine persönliche SMO Adresse eingeben und NICHT hekiman!

Du musst warten bis du die Email bekommen hast, denn nur mit dieser SMO Adresse (die nur du kennst) kannst du dich zukünftig noch einloggen.

Und das soll sicherer sein als ein langes Passwort? Bei der Verwendung eines Proxy steht meine superdupergeheime Url im Logfile des Proxy!
...

Einer von uns beiden steht hier "echt auf dem Schlauch".
Was hat denn nun deine URL (also die WEB Adresse!) damit zu tun?

Dein komplexes Passwort hast du selber über eine gesicherte Verbindung (https) geändert und nur DU kennst es. Es wird hier bei uns in der Datenbank verschlüsselt gespeichert, so das selbst wir/ich es nicht kennen.
Das Einzige was wir von dir verifiziert kennen, ist deine Email Adresse, ansonsten kennen wir (der Pool-Betreiber) von dir nichts.
Deshalb schicken wir dir deine persönliche SMO Adresse an diese uns bekannte und im Pool hinterlegte Email Adresse.
Wenn dein Email Postfach sicher ist, dann sollte eigentlich außer dir und dem Pool kein Anderer diese persönliche SMO Adresse kennen.
Trotzdem brauchst du natürlich zum einloggen deine persönliche SMO Adresse UND dein vorher selbst gewähltes (komplexes) Kennwort.

Was meinst du denn bitte mit "superdupergeheime Url"?  

Aber ich werde jetzt sowieso erst einmal das Wochenende genießen, der Strand wartet...  

In diesem Sinne, sonnige Grüße von der Insel,
 Ecki

[hekiman]

Ich bin anscheinend am Schlauch gestanden bzw. hab ich das falsch verstanden. Ich dachte man kommt direkt durch die SMO-Adresse in den Account (ohne Passworteingabe).

Frustrierend für  mich war, dass die Attacke zwei Tage nach meiner Registrierung bei Deinem Miningpool passiert ist. Darum hatte ich auch noch nicht so viel Zeit mich "umzusehen". Als ich dann Zeit hatte, war mein Account für mich nicht mehr zu erreichen 

Entschuldige bitte und schönes Wochenende bei hoffentlich schwül-heissen Temperaturen  

[eckmar]

Hallo hekiman,

Ich bin anscheinend am Schlauch gestanden bzw. hab ich das falsch verstanden. Ich dachte man kommt direkt durch die SMO-Adresse in den Account (ohne Passworteingabe).

Frustrierend für  mich war, dass die Attacke zwei Tage nach meiner Registrierung bei Deinem Miningpool passiert ist. Darum hatte ich auch noch nicht so viel Zeit mich "umzusehen". Als ich dann Zeit hatte, war mein Account für mich nicht mehr zu erreichen 

Nein, das automatische Einloggen per Link ohne (verschlüsselte) Übertragung von Benutzernamen und Kennwort wäre ja wohl eher eine Verschlechterung der Sicherheit als eine Verbesserung...
Es geht bei der Änderung primär darum, das ein Hacker nicht die Benutzernamen (die er hacken möchte) aus der Top10 Liste "geliefert" bekommt.
Jetzt muss er also zusätzlich erst einmal irgendwie dein Email Account hacken um überhaupt an deine persönliche SMO Adresse zu gelangen bevor er damit beginnen kann dein Passwort zu hacken!
Solange deine SMO Adresse nur dir bekannt ist, gibt es also jetzt eine Hürde mehr für den Hacker.
Deine persönliche SMO Adresse schicke ich dir heute noch einmal per Email zu.

Entschuldige bitte und schönes Wochenende bei hoffentlich schwül-heissen Temperaturen  

Da braucht man sich nicht zu entschuldigen, wir sind alle Menschen und verstehen ab und zu mal etwas falsch.
Das ist wirklich kein Problem, eher natürlich...

Ansonsten haben wir hier 30°C bei 72% Luftfeuchtigkeit und dein Wunsch ist in Erfüllung gegangen:
Das Wochenende war klasse! 

Mit sonnigem Gruß von der Insel,
 Ecki

[ewibit]

@ewibit
Wünsch dir viel Glück beim BFL-Contest! 

ich verstehe zwar das ganze Raffle system überhaupt nicht, aber es sieht fast so aus, als ob deine Wünsche etwas geholfen hätten - Danke 
(jedoch glaube ich es erst, wenn es fix ist...)

[eckmar]

B e k a n n t m a c h u n g

Da es zu verschiedene Probleme mit der Email-Zustellung kam, wenn Worker nicht mehr gebaggert haben, haben wir jetzt die Benachrichtigung auf ein POP-UP umgestellt.
D.h. es wird jetzt nicht mehr per Email benachrichtigt, wenn sich der Status eines Workers beim baggern ändert, sondern per POP-UP im Browser.

Mit sonnigem Gruß von der Insel,
 Ecki

[ewibit]

(jedoch glaube ich es erst, wenn es fix ist...)

leider doch zu früh gefreut 

[ewibit]

Du musst als "username" beim Login deine persönliche SMO Adresse eingeben und NICHT hekiman!

dieser Hinweis war wohl wichtig, auch für mich...
thx

[eckmar]

Nur zur allgemeinen Information:

Wir haben das Konzept für unseren JAVA Client geändert.

Bisher hatten wir einen "standalone" JAVA Client entwickelt der zwar LOKAL Daten speichern konnte, aber eben als eigenständige Applikation erst einmal installiert werden musste.
Durch unsere ALPHA Tester haben wir aber gelernt, das es selbst unter Windows zig Probleme damit gibt.
So lief unser erster JAVA Client zwar unter WindowsXP, aber nicht unter Windows 7.
Nach einigen Änderungen lief er dann zwar auch unter Windows 7 aber nur der 32bit Version, unter der 64bit Version nicht.
Nach weiteren Änderungen lief er dann auch auf 2 von 4 Windows 7 64bit Installationen, aber wir werden keine weitere Zeit mehr dafür investieren herauszufinden, warum es auf 2 PCs läuft und auf 2 anderen PCs mit dem gleichen Betriebssystem nicht.
Ich mag gar nicht daran denken, was das für ein Aufwand wäre, diesen JAVA Client auf zig verschiedenen Linux Distributionen zum laufen zu bekommen oder dem MAC!

Jetzt entwickeln wir einen JAVA Client der innerhalb des WEB Browsers läuft, d.h. es wird keinerlei externes Programm mehr installiert. Einzige Voraussetzung bleibt wie bisher auch, das eine lauffähige JAVA Laufzeitumgebung auf dem PC installiert ist.
Der JAVA Client läuft dann praktisch "innerhalb" des WEB Browsers (benötigt deshalb keine Installation) und baut eine verschlüsselte ZWEIwegekommunikation zwischen Client und Server auf.
Damit ist dann auch eine Echtzeit Kommunikation möglich und eine Verkaufsorder z.B. in der Exchange Börse wird sofort allen anderen JAVA Clients angezeigt (und nicht erst nach "worst case" 10 Minuten wie in der aktuellen WEB Browser Variante).
Dies war eine existentielle Forderung unserer professionellen "Daytrader" die uns Ende diesen Jahres hier auf Koh Samui besuchen kommen und mit denen wir Anfang Januar ein Brainstorm-Meeting abhalten werden um die Software "fit für den Daytrader Alltag" zu machen.

Es wird also unter den "Account Details" Einstellungen eine Check-Box "JAVA Clients aktivieren" geben, die wenn man sie aktiviert verschiedene Reiter (wie z.B. "Exchange" oder "Stock Market") mit der echtzeitfähigen JAVA Version (anstatt der WEB Version) ersetzt.

Mit sonnigem Gruß von der Insel,
 Ecki

P.S.: Wir werden die GOLD Mitgliedschaft für die Top10, sowie die 0 (Null) Gebühren für GOLD Mitglieder bis 31.3.2013 verlängern, damit in unserer Exchange Börse kostenloser Handel stattfinden kann. Unsere Daytrader werden vermutlich Anfang Januar aktiv hier in unserer Exchange Börse "daytraden". Es wäre gut für uns alle, wenn es dann mehr Angebote in der Exchange gäbe, denn kostengünstiger könnt ihr eure digitalen Münzen nirgends anders verkaufen!

[Tinua]

Edit2: Nachdem wir einen Deutschen in China mit einer Hashrate von 40 GHash mit dem Stratum Protokoll für unseren Pool gewinnen könnten, werden wir das wohl doch schon im Dezember implementieren.

Sorry, aber was sind ab Dezember 40 GHash?  
Wenn alles klappt, habe ich ab Dezember alleine schon über 400 Ghash.
Wäre also schön, wenn man vorher dein Stratum Protokoll irgendwo testen könnte!