btc-e.com Были украдены Деньги

[Xoffinger]

Просьба залить видео в том разрешении, в котором оно было записано, либо выложить на торрент. Приходится всматриваться в каждую букву, внимание от самого материала переключается на распознание. Писали в 1920*1080, на ютубе 720p.

[Fasters]

да нет записывал второе видео в расширение  ноута примерное 1300 * 800 (как то так)

 

по поводу того нагрузка?

какая нагрузка может быть в сравнении при переходе?

if($_SERVER['REMOTE_ADDR] == $_SESSION['users_ip']{

$sec = 'good';}else{exit();}

===Распишу функция для тех кто не имеет навыков в программировании..

 

Если (Удаленный IP  с которого запрашивают страницу Равен IP по сессии (в куках){

Устанавливаем флаг проверки на "прошел" (допустим)

{ 

в ином случае если не прошел сравнение (что IP совпадают) {

 

Окончить выполнение процессов дальше и выйти из аккаунта (допустим так)

}

Это элементарный пример, который можно сделать. 

 

элементарное сравнить IP человека который вызывает функцию или страницу с переменной в куках...нагрузки не какой а безопасность +99%

По поводу ботов, что они могут быть дырявые- это уже вопросы к разрабам бота и с доказательствами что там дырки есть. 

То что биржа жлобиться сделать защиту в плане сверки IP и вообще убрать использование куков или даже просто СМС шлюз...Извините меня вы работаете с деньгами и так просто халатно относиться к клиентам это уже сверх "поху...." так скажем. 

Денис дал просто доступ для демонстрации как можно зайти в биржу имея все куки и пароли, а так же девайсы где настроена вторая аунтификация.

У него чистый образ windows от mdsn (не сборка), использование платного антивируса. Могу предоставить контакты пользователя, он работает в сфере безопасности и анализа антивирусных продуктов. так он вам расскажет и покажет все что умеет антивирус norton. Этот программный продукт не то что внешний коннект не пропустит НО и не даст зайти вирусу выташить куки отправить их...

 

Как по мне тут элементарный можно сделать вывод:

- Использование куков на таком проекта = халатность к безопасности ваших средств

- Отсутствие смс подтверждения = халатность к безопасности ваших средств

- Отсутствие проверки IP = халатность к безопасности ваших средств

- Случилась беда у человека = он сам виноват и т.д. Хотя вина его не доказана и абсурдна

- Случилась беда у вас = караул помогите

 

Я сделал даже два видео не для того что бы там чёрный пиар сделать для биржы, а просто показать что ей на вас глубоко плевать....И случиться с вашими средствами что то, то будете так же как денис сидеть и плеваться на свою жизнь когда у вас угонят ваши кровные..

Кто захочет понять суть видео, тот поймет. Кто не захочет, простите можете дальше искать нюансы в видео моем....

Будет шанс отловить снова отправку запроса на их сервер что бы получить ответ левый, то я его сниму...ну спустя 2 недели как я им показал это. Это довольно уже стало трудно сделать

Изменено 11 дек 2014, 18:42 пользователем Fasters

[En1ken]

@Fasters, if($_SERVER['REMOTE_ADDR] == $_SESSION['users_ip']

В итоге

1 У чело динамичный ip то бишь при каждой смене идет разрыв сессии и деавторизация, в итоге 90% пользователей станут ныть что биржа тупит и ей хана!

2 ЛЮБОЕ условие при частом обращении(прикиньте на бирже сидит свыше 3 000 пользователей) каждый из которых обновляет страницу минимум 10 раз в минуту, особенно при колебаниях курса!

3 Большинство серверов вам выдаст ip сервака при $_SERVER['REMOTE_ADDR], выше вы сами скинули пример того как ваш сниффер записал не ваш ip а ip вашего сервера, то бишь нужно подключать дополнительную библиотеку для нормального определения ip пользователя и обращатся к ней, что в свою очередь ведет опять же к огромным нагрузкам!

Ps без обид но кодыр с вас херовый если вы даже элементарщины не знаете, данный проект попадает под категорию higload и любое условие это доп нагрузка на сервер!

Pss Так проще if($_SERVER['REMOTE_ADDR] !== $_SESSION['users_ip']) exit;

[Lexis77]

 

 

У чело динамичный ip то бишь при каждой смене идет разрыв сессии и деавторизация, в итоге 90% пользователей станут ныть что биржа тупит и ей хана!

А много людей, которые сидят без роутера и по 10 раз в день отключают комп/ноут. А много из тех, кто подключен через роутер, выключают его?

[diyavolik_xl]

En1ken ты мой пк не знаешь ,и чем забит и как защищен,вопрос я 0 в пк  по твоему выводу то нюанс (по марку 06 у меня первое место по городу , 09 году я участник кибер арены ,  ну да ладно,,,

 

En1ken возьми взломай мой пк у меня система настолько дырявая ,,,настолько гугл не безопасный почтовик ,,,ты в (   *   )  не заглядывай ,а если что пишешь например 1bbot ты сначала узнай что это и хотя бы покажи 1 человека что украдены были в 1bbot,,,1000 этих ботов тока на бтс и не меньше на других бирж,,,это платные вещи ,,,

ты факту не фига не понял с видео ,,,

[Fasters]

@Fasters, if($_SERVER['REMOTE_ADDR] == $_SESSION['users_ip']

В итоге

1 У чело динамичный ip то бишь при каждой смене идет разрыв сессии и деавторизация, в итоге 90% пользователей станут ныть что биржа тупит и ей хана!

2 ЛЮБОЕ условие при частом обращении(прикиньте на бирже сидит свыше 3 000 пользователей) каждый из которых обновляет страницу минимум 10 раз в минуту, особенно при колебаниях курса!

3 Большинство серверов вам выдаст ip сервака при $_SERVER['REMOTE_ADDR], выше вы сами скинули пример того как ваш сниффер записал не ваш ip а ip вашего сервера, то бишь нужно подключать дополнительную библиотеку для нормального определения ip пользователя и обращатся к ней, что в свою очередь ведет опять же к огромным нагрузкам!

Ps без обид но кодыр с вас херовый если вы даже элементарщины не знаете, данный проект попадает под категорию higload и любое условие это доп нагрузка на сервер!

Pss Так проще if($_SERVER['REMOTE_ADDR] !== $_SESSION['users_ip']) exit;

ммм вы абсолютно не правы...Ну пропал инет...окей сделай разрыв сессии человек перезхайдет и все..в чем проблема? Безопасность не простадает... IP в режиме работы смениться не сможет без дисконнекта

2) из-за такой функции нагрузки не будет...больше нагрузка на json при запросе курса или тому подобное...

3) любой сервер выдаст IP клиента если там поставить mod_rpaf (nginx) если вы уже шарите то поймете о чем я...

Еще вопросы?

[En1ken]

@Fasters, Вы тогда так же напишите и гуглу что ему похрен на пользователей раз они постоянно не проверяют ip в режиме онлайна))

Подделывая куки и индентификатор сессии вы тем самым представляетесь уже АВТОРИЗОВАННЫМ ПОЛЬЗОВАТЕЛЕМ попробуйте совершить тоже самое при 

1 Выводе средств с биржи(сначало сделайте запрос на вывод с одного ip и попытайтесь подтвердить его в почте но уже с другого)

2 В момент авторизации, увидите прикол!!

@Lexis77, А много пользователей жмут кнопку ВЫход??

Учти что половина "трейдеров" работают, и сидят сразу и с дом машины и с рабочей

Тем более что многие сидят не с выделенки, а с опсос модемов таких как билан мегавонь и мтс(тройка) они ip меняют даже не спрашивая тебя, у меня например за день может раз 20 произойти дисконект и поменяться ip

[Fasters]

Ps без обид но кодыр с вас херовый если вы даже элементарщины не знаете, данный проект попадает под категорию higload и любое условие это доп нагрузка на сервер!

Ну ну. Мои знания мой хлеб.

@Fasters, Вы тогда так же напишите и гуглу что ему похрен на пользователей раз они постоянно не проверяют ip в режиме онлайна))

Подделывая куки и индентификатор сессии вы тем самым представляетесь уже АВТОРИЗОВАННЫМ ПОЛЬЗОВАТЕЛЕМ попробуйте совершить тоже самое при 

1 Выводе средств с биржи(сначало сделайте запрос на вывод с одного ip и попытайтесь подтвердить его в почте но уже с другого)

2 В момент авторизации, увидите прикол!!

@Lexis77, А много пользователей жмут кнопку ВЫход??

Учти что половина "трейдеров" работают, и сидят сразу и с дом машины и с рабочей

Тем более что многие сидят не с выделенки, а с опсос модемов таких как билан мегавонь и мтс(тройка) они ip меняют даже не спрашивая тебя, у меня например за день может раз 20 произойти дисконект и поменяться ip

Не сомневайтесь и в гугл напишу...а вы напишите что то умное.

[En1ken]

@diyavolik_xl, Ты прав что я не знаю твой комп, но судя по тому видео твоего компа что нам тут предоставили то без слез на него не взглянешь, все настолько убого и запущенно что вы реально похожи на ту бухгалтершу которую только что перевели с деревянных счетов))

@Fasters, Вы внимательнее посмотрите здешние темы о том что биржа лагает и так далее, биржа в угоду пользователей даже убрала вывод онлайн пользователей, по сути там 3 кусочка кода, но это добавило прирост скорости в условиях тотальной нагруженности!

Насчет дисконекта читайте выше!

@diyavolik_xl, И еще, прочитайте отзывы тех кто кричит что их кинула биржа, как правило у каждого второго стоят такие супер пупер ботты))

А то что вы говорите о тысячах то хватит меня смешить, в пиковое посещение там было всего около 2 000 ботов с учетом того что минимум 300 принадлежат одному человеку)) и они у него самописные! Теперь делайте выводы господа

[Lexis77]

Девочки, не ссорьтесь! Не будем переходить на личности. Держите себя в руках.

[En1ken]

@Lexis77, Честно  говоря бесят такие вот МегоЗнатоки, вопрос к 

diyavolik_xl

Если вы млять такой кибер-знаток то какого дурака вы дали полный доступ к своей машине стороннему челу?

То что "участник кибер арены" то мы тут каждый в своем роде участник))

[Fasters]

Вы абсолютно правы господин модератор. Я больше флудить не буду. Сказал по существу и показал то видел...Все.Умные люди вижу тут есть, а защиты той биржы нету. Вот и все 

[diyavolik_xl]

возьми и покажи как могли украсть

Изменено 11 дек 2014, 19:29 пользователем diyavolik_xl

[En1ken]

@Fasters, Проделайте такой же опыт со всеми биржами, увидите результат!

В первую очередь безопасность ваших средств лежит только на вас, и если я имею серьезные планы на биржу(реальная торговля, бизнес и прочее) то ТОЛЬКО Я несу полную ответственность за свою безопасность, и безопасность своей машины! А если у чела смогли свистнуть куки(вы кстати об этом даже не подумали сказать, а ведь их реально слили) то значит чел сам не следит за своей безопасностью, а то что антивирусники не нашли ничего то пусть посмотрит все действия на компе(хотя щас такие вирусняки что они все подчищают)

@diyavolik_xl,Удачи вам в своих соплях! Если бирже выгодны такие вот махинации, воровство и прочее, то ответьте, а почему бы им пару лямов разом не слить и не свалить, по вашим же словам их не найти тогда))

Насчет как могли получить доступ то банально, у вас как было показанно в видео можно просто тупо стащить весь файл куков вот и все!

[diyavolik_xl]

En1ken ты не фига не понял ,смотришь не на то что хотели показать ,,,

"ОЛЬКО Я несу полную ответственность за свою безопасность, и безопасность своей машины!

 

тока ты переводишь в цифровой вид свои деньги и переводишь бирже ,банкам ещё куда либо ,,,о безопасности уже не может идти и речь , есть ресурсы которые предоставляют безопастность и страхуют клиента в случаи наподобие как у меня ,,,а вот как бтс и её подобное нет не чего с их стороны ,,,,

 

"Если бирже выгодны такие вот махинации, воровство и прочее, то ответьте, а почему бы им пару лямов разом,,,50 БТС -МЕТАГОКС этого не достаточно ?

Изменено 11 дек 2014, 19:41 пользователем diyavolik_xl

[Fasters]

@Fasters, Проделайте такой же опыт со всеми биржами, увидите результат!

В первую очередь безопасность ваших средств лежит только на вас, и если я имею серьезные планы на биржу(реальная торговля, бизнес и прочее) то ТОЛЬКО Я несу полную ответственность за свою безопасность, и безопасность своей машины! А если у чела смогли свистнуть куки(вы кстати об этом даже не подумали сказать, а ведь их реально слили) то значит чел сам не следит за своей безопасностью, а то что антивирусники не нашли ничего то пусть посмотрит все действия на компе(хотя щас такие вирусняки что они все подчищают)

@diyavolik_xl,Удачи вам в своих соплях! Если бирже выгодны такие вот махинации, воровство и прочее, то ответьте, а почему бы им пару лямов разом не слить и не свалить, по вашим же словам их не найти тогда))

Насчет как могли получить доступ то банально, у вас как было показанно в видео можно просто тупо стащить весь файл куков вот и все!

Вы очень грубый и не порядочный человек. Видно один из команды btc-e? Вы наверное их чудо программист?

1) перед созданием видео и всех действий и общений с администрацией btc-e Я проверил компьютер дениса на такие вещи как:

Удаленные соединения windows

Действия и авторизации в логе windows (если кто то не знает где они лежат то это в http://prntscr.com/5fpzvs

Если угнали куки на стороне сервера то это доказывает мои предположения что на бирже есть xss 

Второй момент что так же подтвердили письмо подтверждение на гугл...гугл куки украсть только с ПК можно

Попробуйте что то сделать с ПК на котором стоит Norton 360. А лучше запишите видео заражения\ сетевого анализа \ проверки портов на ПК где есть данный антивир.

Денис не когда не дает доступ удаленный людям, то что он мне его дал для снятия видео это только потому что 1) мы знакомы больше 7 лет уже точно и я его знаю очень хорошо 2) нужно было снять видео

Вы 100% защищаете биржу и это видно невооруженным взглядом. Люди обычные увидят то что вы скрываете или защищаете. 

Удачи вам в ваших проектах, а если вы еще и разработчик btc-e то хватить летать в облаках и уходите с кук. Будьте как нормальные биржы, на сессиях. Не кто еще не умер.

Больше писать и спорить с вами я не стану. Будут вопросы от других пользователей я с радостью отвечу. Желаю успехов.

[semaster]

ммм вы абсолютно не правы...Ну пропал инет...окей сделай разрыв сессии человек перезхайдет и все..в чем проблема? Безопасность не простадает... IP в режиме работы смениться не сможет без дисконнекта

2) из-за такой функции нагрузки не будет...больше нагрузка на json при запросе курса или тому подобное...

3) любой сервер выдаст IP клиента если там поставить mod_rpaf (nginx) если вы уже шарите то поймете о чем я...

думал было просто почитать, но пожалуй вставлю и свои 5 копеек.

а точнее просто подтверждаю п2. - не будет нагрузки.

простая проверка if($_SERVER['REMOTE_ADDR'] !== $_SESSION['users_ip']) exit; даже при 50к одновременных запросов и достаточно мощном и правильно настроенном сервере не вызывает никаких проблем.

 

В подтверждение этого запустил на СЛАБЕНЬКОМ впс (512М оперативы) AB тестик с такими параметрами

ab -n 50000 -c 50 http://127.0.0.1:80/test.php

 

вот лог выполнения

Concurrency Level: 50

Time taken for tests: 27.016 seconds

Complete requests: 50000

Failed requests: 0

Write errors: 0

Total transferred: 8950000 bytes

HTML transferred: 50000 bytes

Requests per second: 1850.78 [#/sec] (mean)

Time per request: 27.016 [ms] (mean)

Time per request: 0.540 [ms] (mean, across all concurrent requests)

Transfer rate: 323.53 [Kbytes/sec] received

 

 

тоесть 50тис запросов к скрипту с проверкой IP тратили аж 0.540сек на каждый паралельный запрос

 

И это на голом апаче. А если использовать nginx и его возможности сравнения адресов то цифра времени выполнения уменьшится в сотни раз

Изменено 11 дек 2014, 20:49 пользователем semaster

[Fasters]

Спасибо за синтетический тест...не было возможности произвести замеры...

еще если правильный nginx с параметрами кеша..то обработка запросов на сервере занимает мизер..шаблон кешируеться, сравнение IP мигов 

 

P.s.

Для тех кому интересно в том числе и админам btc-e откуда я копаюсь и т.д.

Интерес к тому чего не знаешь заставляет искать ответы. были и другие проекты когда нужно было анализировать сети, находить дыры (за это платили) Но я оно не интесено особо. 

Я в том месяце делал обзор дырок на платном веб хостинге cishost.ru нашел как критические дыры, так и дыры которые давали сливать сайты клиентов и из базы...Отправил репорт администрации они обещали вознаграждение, в итоге дырки закрыли, сервер обновили но сказали кукиш нечего не было...

И форум в том месяце слил БД по случаю смерти php модуля, грех было не воспользоваться тем что есть. Тем более когда злость на админов есть которые тебя на 150 когда то киданули...

 

P.s.s

По поводу чата...хоть и занимаюсь веб делом но еще слабо знаю jquery и js (да я такой)

но посмотрел код их библиотеки 

https://btc-e.com/js/core11.min.js

нашел функцию

function nChatPutMsgTest(){json='{"login":"test","date":"now","msg_id":"'+Math.floor(1E5*Math.random())+'","msg":"test message test message test message test message test message"}';nChatPutMsg(json)}

 

сделав форму на html и подставил индификатор из Netsparker то ошибок не было и смс ушло, но к сожалению так в чате его и не увидел. 

Изменено 11 дек 2014, 21:13 пользователем Fasters

[Tomcat_MkII]

Одному мне кажется, что они оба одних и тех же грибов наелись, или наоборот один, но разных?

[diyavolik_xl]

 

Tomcat_MkII- тебя не поняли ,перефразируй кому было обращение ,,,

[cyrex]

Насколько я могу судить, господа Fasters и diyavolik_xl вполне адекватны. А вот господин - защитник биржи явно страдает желчеплюйством и возникают смутные сомнения в его неангажированности. 

 

По поводу всей ситуации могу сказать, что защита у биржи действительно так себе.

1. Надо убирать куки и переходить на сессии. Другие биржи ведь на сессиях и ничего, работают.

2. Надо сделать добровольную функцию, по которой все операции вывода с акка биржи только при вводе кода из СМС. И смена телефона тоже по СМС на старый номер. Тогда хацкеры точно не пройдут. 

 

Биржа должна сделать максимум возможного, чтобы защитить деньги клиентов. 

[En1ken]

Самое смешное что поддерживают горе-взломщиков одни только новички с нулевой репой. Да и судя по плюсикам они друг другу их ставят))

Смешно, даже спорить с вами не вижу смысла))

[diyavolik_xl]

En1ken а что за плюсики ? я как понимаю рейтинг растёт от количеств сообщений или я чёт не догоняю,, En1ken- а кто сказал что ломаем там что-то ? мы те кто соизволили на своём горе разобраться как сделали взлом и украли за 3 минуты Без посещения биржи 4 дня    и защитить себя и других что бы больше денег не воровали не у кого ,,, я думаю если у тебя украли деньги вежялбы ты как свинья ,,,ты принципиальный человек просто ) cyrex-ты абсолютно прав и так работают многие ресурсы где крутятся деньги ,,,БТС пора обновлять защиты ,,,почему и не украли с крипсти деньги по тойже причины авто закрытии сессии,,,  

Изменено 12 дек 2014, 10:10 пользователем diyavolik_xl

[diyavolik_xl]

если биржа не может защитить значит пользователи должны посодействовать в этом ! Лично моё мнение дал свои деньги значит тот кто взял должен отвечать !

если взять по уголовному праву то БТС если был например как юр лицо или ЧП тягали бы его долго ,,,но так как это воздух тягать не кого

[Василий Уткин]

Опять..... нюни... как же вы з.. смените прокладку! Между компьютером и креслом.

Как биржа может тебя защитить от того, что твой компьютер, без твоего ведома, выполняет вредоносные скрипты, которые заточены в данном случае под биржу бтс-е? крадут куки и сессию плюс плюшки, или это всё делается в консольном режиме онлайн и ты этого не видишь.  Есть одно но, сам себя компьютер не мог инфицировать, проблема в прокладке. 

Изменено 12 дек 2014, 13:09 пользователем MARCHELLO