Jump to content
mikefdm

Взломан bitcointalk.org

By mikefdm, in Общий

Recommended Posts

mikefdm    3

mikefdm
Posted

Совпадение с закрытием silkroad?

Форум будет запущен только после установления уязвимости, использованной хакерами.

 

Полная статья:

http://cryptolife.net/bitcointalk-hacked/

 

By a group calling themselves “The Hole Seekers”. Visitors to the forum were greeted with this when visiting the site. A full video capture of the hack can be found here.

The payloads involved in this hack can be found below:

HTML source: https://gist.github.com/super3/6802799
Javascript payload: https://gist.github.com/super3/6802808

I’ve yet to have time to analyze these to see if anything malicious was involved. Also unknown is whether or not any user data was compromised. Stay tuned for more information.

UPDATE FROM THEYMOS:

Summary: The forum will be down for a while. Backups exist and are held by several people. At this time I feel that password hashes were probably not compromised, but I can’t say for sure. If you used the same password on bitcointalk.org as on other sites, you may want to change your passwords. Passwords are hashed using sha256crypt with 7500 rounds (very strong).

The JavaScript that was injected into bitcointalk.org seems harmless. Here’s what I know: The attacker injected some code into $modSettings['news'] (the news at the top of pages). Updating news is normally logged, but this action was not logged, so the update was probably done in some roundabout way, not by compromising an admin account or otherwise “legitimately” making the change. Probably, part of SMF related to news-updating or modSettings is flawed. Possibly, the attacker was somehow able to modify the modSettings cache in /tmp or the database directly. Also, the attacker was able to upload a PHP script and some other files to the avatars directory.

Figuring out the specifics is probably beyond my skills, so 50 BTC to the first person who tells me how this was done. (You have to convince me that your flaw was the one actually used.) The forum won’t go back up until I know how this was done, so it could be down for a while.

Be Sociable, Share!

 

1

Share this post

Link to post
Share on other sites

Format.C^    1594

Format.C^
Posted

Не имеют права! :help:   у меня там есть незаконченный разговор с одним товарищем... :D

0

Share this post

Link to post
Share on other sites

br0nevik    1337

br0nevik
Posted

Верните мою карму, твари!

2

Share this post

Link to post
Share on other sites

daemon1    202

daemon1
Posted (edited)

cd c:\

>delete *.*

 

уж не с битфури ли ? )))

Edited by daemon1
0

Share this post

Link to post
Share on other sites

Format.C^    1594

Format.C^
Posted

@daemon1, с чего бы это?

0

Share this post

Link to post
Share on other sites

daemon1    202

daemon1
Posted

потому что щас там битфури уже пару дней пишет много текста, и наверное подготавливает к чему то... или наоборот, предостерегает )

0

Share this post

Link to post
Share on other sites

awoland    53

awoland
Posted

Надо помочь Theymos'у разобраться как взломали его форум. А то он пока концов не найдёт, заново его поднимать не будет...

0

Share this post

Link to post
Share on other sites

Ainz    2422

Ainz
Posted (edited)

Отписал ему в скайп свои соображения, если theymos1 в скайпе это он (судя по гуглу - он). Надеюсь, сегодня поднимется, потому как ближе к вечеру форум будет нужен.

Edited by Balthazar
0

Share this post

Link to post
Share on other sites

awoland    53

awoland
Posted

Он вот здесь уже активно общается с одним из разарботчиков SMF. Может быть так до него легче достучаться будет ...

1

Share this post

Link to post
Share on other sites

Echoes    331

Echoes
Posted

Хорошо хоть этот форум есть... Полез сначала на оверы, а там уже все темы про крипто мхом заросли...

0

Share this post

Link to post
Share on other sites

Format.C^    1594

Format.C^
Posted

@Echoes, сплюньте три раза через левое плечо...

0

Share this post

Link to post
Share on other sites

awoland    53

awoland
Posted

А чего сплюньте? Толкс через аватары заинжектили ...

0

Share this post

Link to post
Share on other sites

Format.C^    1594

Format.C^
Posted

@awoland, да я в курсе, почитал реддит. Просто от взлома никто не застрахован и не важно, каким способом это может быть сделано...

0

Share this post

Link to post
Share on other sites

polym0rph    3590

polym0rph
Posted

0

Share this post

Link to post
Share on other sites

polym0rph    3590

polym0rph
Posted

Обновление:

Есть хороший шанс, что атакующийе могли выполнять произвольный код PHP и, следовательно, могли получить доступ к базе данных пользователей. theymos (админ биткоинталка) делает массовые рассылки всем пользователям форума по этому поводу.

Резюме: форум будет закрыт на некоторое время. Резервные копии существуют и хранятся у нескольких человек. theymos надеется, что хэши паролей не были скомпрометированы, но не может сказать наверняка, рекомендует изменить свои пароли, если вы использовали одинаковый пароль на bitcointalk.org и на других сайтах. Пароли хэшировались использованием sha256crypt в 7500 раундов.

Уже известная информация: злоумышленник сделал инъекцию кода кода в $ modSettings ['News'] (Новости в верхней части страницы). Обновление новостей логируется, но это действие не было зарегистрировано, поэтому обновление было сделано, вероятно, какими-то окольными путями, а не напрямую через учетную запись администратора или иными легитимными путями внесения изменений. Возможно, часть SMF, связанная с обновлением новостей или modSettings, является уязвимой. Возможно, злоумышленник мог изменить кэш modSettings в / TMP или базу данных напрямую.

Кроме того, злоумышленник был в состоянии загрузить скрипт, и некоторые другие файлы в каталог аватаров.

Еще theymos сообщил, что у него недостаточно компетенции, чтобы самостоятельно решить эту проблему, поэтому он пообещал награду в 50 BTC первому человеку, который расскажет, как это было сделано с доказательствами своей теории. Форум не будет доступен, пока не будет выяснено, как это было сделано.



____________
Чую, сейчас опять пойдут массовые "взломы" аккаунтов на биржах и пулах.

0

Share this post

Link to post
Share on other sites

fsb4000    58

fsb4000
Posted

Чую, сейчас опять пойдут массовые "взломы" аккаунтов на биржах и пулах.

Думаешь пулы и биржи использовали именно такое шифрование паролей "Пароли хэшировались использованием sha256crypt с 7500 раундов." ?

0

Share this post

Link to post
Share on other sites

Ainz    2422

Ainz
Posted (edited)

А неважно, как они их шифровали, это не имеет значения. Просто часть паролей, наверняка, будет сбручена из-за своей простоты и будет продана детишкам... Которые начнут пробовать пары login/pass, email/pass на разных сайтах, как обычно.

 

Не знаю, связано ли, но на одной бирже пробуют. Впрочем, вряд ли придут к успеху даже имея рабочие пароли, т.к. из-за собственной твердолобости действуют с использованием заведомо неработающей последовательности авторизации.

Edited by Balthazar
0

Share this post

Link to post
Share on other sites

Shambler    1125

Shambler
Posted

@mikefdm, что за гон в стиле РенТВ!? при чем тут силкроад? мало форумных взломов каждый день происходит?

1

Share this post

Link to post
Share on other sites

Maksim6850    154

Maksim6850
Posted
polym0rph

А вот то видео взлома...прям так и было ?)) 4 мин 36 сек играла вот эта музыка и анимация и потом всё, ахтунг ? 

0

Share this post

Link to post
Share on other sites

mikefdm    3

mikefdm
Posted

@mikefdm, что за гон в стиле РенТВ!? при чем тут силкроад? мало форумных взломов каждый день происходит?

Оба события сильно дискредитируют биткоин.

Почему именно сейчас найдена эта уязвимость? Форум этот давно лакомый кусок.

Прослеживается параллель с действиями США и разоблачениями в области криптографии: http://www.3dnews.ru/764520

Вспомним, например, еще закрытие LR...

Спецслужбы пытаются везде проникнуть, а где не получается - разрушают/запрещают.

0

Share this post

Link to post
Share on other sites

polym0rph    3590

polym0rph
Posted

 

 

Оба события сильно дискредитируют биткоин.

А воровство в метро или потеря денег на биржах из-за сбоя робота это проблема рубля как валюты, по такой логике, ага.

0

Share this post

Link to post
Share on other sites

Echoes    331

Echoes
Posted

 

Оба события сильно дискредитируют биткоин.

А воровство в метро или потеря денег на биржах из-за сбоя робота это проблема рубля как валюты, по такой логике, ага.

Однако в новостях биткоин опять фигурирует рядом со словами взлом, оружие, наркотики и так далее... Что не есть гут, в обществе пытаются сформировать дурную славу нашей валюте.

0

Share this post

Link to post
Share on other sites

polym0rph    3590

polym0rph
Posted

@Echoes, а слово "правительство" с чем-то позитивным фигурирует?)  Кто включает мозг, тот все понимает, а остальные как хавали новости с первого канала, так и будут продолжать это делать.

"Это нормально"(с) Малышева

 

A-Umi3SCUAIJDBl.jpg large.jpg

6

Share this post

Link to post
Share on other sites

Format.C^    1594

Format.C^
Posted

@polym0rph, "сегодня В. Путин опять всё сделал правильно " - чёта ржунимагу)))))

2

Share this post

Link to post
Share on other sites

Ainz    2422

Ainz
Posted

"Первый канал", как иногда пишут на новостных сайтах.

0

Share this post

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Go To Topic Listing

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Topics

    • Взломан онлайн-кошелек Эфириума MyEtherWallet

      24 апреля MyEtherWallet, один из самых популярных онлайн-кошельков Эфириума был атакован. Взломанные DNS сервера перенаправляли пользователей на фишинговый сайт. На момент написания статьи (21-30 Мск) известно об одном случае кражи: похищено 215 ETH (около $150 000). Пользователи, заходившие на myetherwallet.com через DNS Google (8.8.8.8./8.8.4.4) перенаправлялись на сервер злоумышленника с недействительным сертификатом, который мог похитить их приватные ключи:     Судя по вс

      in Новости криптовалют

    • Ethereum взломан, или как это понимать?

      Есть "красивые" адреса вроде 0x1111111111111111111111111111111111111111. Ясно, что вероятность сгенерировать их - космически мала (как и любой другой конкретный адрес). Поэтому никто не имеет приватника от такого адреса. Значит никто не может слать с него транзакции. Действительно, исходящих транзакций самого эфира я не видел, но вот исходящие транзакции токенов - есть. Примеры:   https://etherscan.io/tokentxns?a=0x0000000000000000000000000000000000000000 https://etherscan.io/toke

      in Общий

    • Коротко о даркнете: жертвы Alphabay, Monero растет, взломан кошелек Coinpouch

      Так называемый «тёмный интернет», или даркнет, представляет собой самую глубокую, теневую часть интернета, в которую сложно попасть с помощью обычных поисковиков. Это рай для тех, кто желает приобрести или продать наркотики, оружие и другие запрещённые товары.   Были времена, когда биткоином управляли теневые рынки, но они давно прошли. Тем же, кто посещает глубинный интернет, следует повнимательнее следить за  его состоянием. Здесь используется все - от анонимных денег до кошельков с

      in Новости криптовалют

    • Взломан кошелек Tether: похищено $31 миллиона

      Создатели токенизированных долларов Tether опубликовали экстренное сообщение, в котором объявили о крупной хакерской атаке. По их словам, неизвестный хакер взломал кошелек Tether Treasury и похитил $30,95 млн в USDT. 19 ноября эти средства были отправлены на неавторизованный биткоин-адрес.   Tether Critical Announcement @Omni_Layer https://t.co/clGVQweq5A — Tether (@Tether_to) 21 November 2017 Представители Tether отметили, что не позволят выкупить похищенные токены, и сей

      in Новости криптовалют

    • lpool.name взломан? кто кроме него?

      Сегодня работаю работу, и приходит на почту уведомление с уже довольно давно забытого мною www2.coinmine.pl - You account has been locked due to too many failed password or PIN attempts. Я такой - ну ок надо менять пароли почаще, и работаю дальше. По приходу домой асики отрубились от lpool.name, пул показывает нулевой баланс, обнулена вся статистика и моя и общая по пулу, последний автоплатёж с пула был около 19.00. Печаль беда, однако. Здесь больше инфы на тарабарском.

      in Пулы совместного майнинга

Ресурсы

Крипто новости
Мониторинг обменников
Календарь мероприятий
Калькулятор майнинга
Блоги

О Форуме

Правила форума
Администрация
Поиск по форуму
Файлы
Замечания и предложения

Соц.сети

Twitter
Facebook
VKontakte
Telegram
YouTube

Почта

Администратор
Реклама на Bits.media
Редакция Bits.media
Мониторинг обменников
События и мероприятия
×
×
  • Create New...