Me han pirateado y no estoy seguro de cómo - Ubuntu 14 VPS, billetera criptográfica [cerrado]

5

Soy dueño de un sitio web de moneda criptográfica y tengo una billetera en un VPS. Durante los últimos 3 meses, alguien ha estado retirando monedas (cantidades muy pequeñas a la vez) de la cartera y no tengo ni idea de cómo, aquí están los detalles i tener:

Todos los servidores ejecutan ubuntu 14.0 en un VPS

Estoy protegido con cloudflare: con el nivel más alto de seguridad gratuita que ofrecen

Tengo un loadbalancer que usa un proxy para redirigir a mi servidor de aplicaciones

mi servidor de aplicaciones se vincula a un servidor de billetera (transacción) y un servidor de db mysql

los comandos de transacción son dados por el usuario, el servicio de aplicaciones envía inmediatamente el comando al servidor de billetera y los fondos se transfieren instantáneamente

por lo que puedo ver, el atacante está eliminando monedas en muchas pero muy pequeñas transacciones, por lo que es probable que todo esté automatizado,

pasos tomados:

1) después de cambiar por completo mi servidor de aplicaciones y mi servidor de billetera (desde cero y la nueva dirección IP), el pirata informático retiró las monedas casi al instante (en 10-15 minutos)

2) después de rehacer y cambiar mi servidor SQL, lo mismo, hackeado en minutos

así que inicialmente pensé que tomar el paso 1) de alguna manera ocultaría mi ip del servidor (cloudflare, laodbalancer) del atacante y le dificultaría hackear de nuevo, pero ni siquiera los hizo parpadear

entonces pensé que él podría haber forzado la contraseña de mi servidor mysql. esto significaría que estaba aumentando su saldo (en la base de datos), retirándose a través del sitio y luego eliminando los registros de retiro, pero después de cambiar el servidor y la contraseña, en el paso 2), todavía logró retirar fondos en minutos

mi próxima solución será crear una tabla de base de datos que contenga los comandos de retiro y luego el servidor de transacciones pueda obtener esos retiros de manera independiente y también puedo establecer límites allí,

Solo quería saber lo que piensa la gente antes de pasar por este esfuerzo y si pudiera faltar algo obvio para otra persona (aunque sé que nada de esto trae mucho si es suficiente)

gracias de antemano por la ayuda, es realmente apreciado, en este momento mi sitio no puede funcionar debido a esto: /

PD: si necesitas más información, por favor házmelo saber

    
pregunta beepbaapboom 19.04.2015 - 22:36
fuente

1 respuesta

1

Para recapitular:

  • Has cambiado el servidor de aplicaciones
  • Has cambiado los parámetros de red
  • Has cambiado el servidor de base de datos

Todavía en vano. Lo que queda lógicamente, entonces es:

  • Su aplicación
  • El equilibrador de carga

Supongo que el equilibrador de carga HA no hace mucho y es parte de los servicios de Cloudflare. Por lo tanto, parece que su aplicación web es el punto vulnerable.

  1. ¿Has considerado conseguir que se apague?
  2. ¿Tiene varios usuarios / contraseñas?
  3. ¿Es usted la única persona con acceso a ese servidor o comparte las credenciales de administrador con otras personas?
  4. ¿Está seguro que no está redondeando los valores en cualquier software que use? ¿Comprobó la cadena de bloques en contra de un tercero para verificar que realmente se están transfiriendo pequeñas cantidades de su billetera?

Si todo lo demás falla, comienza a auditar tu propia computadora o los métodos de acceso: tal vez, como sugiere uno de los comentarios, tu computadora se vea comprometida.

    
respondido por el lorenzog 20.04.2015 - 09:38
fuente

Lea otras preguntas en las etiquetas