Sono stato hackerato e non sono sicuro di come - Ubuntu 14 VPS, criptato portafoglio [chiuso]

5

Possiedo un sito web di crittografia valutaria e host un portafoglio su un VPS, per i 3 mesi passati qualcuno ha rimosso monete (pochissime somme alla volta) dal portafoglio e non ho idea di come, ecco i dettagli i avere:

Tutti i server eseguono ubuntu 14.0 su un VPS

Sono protetto da cloudflare: con il più alto livello di sicurezza gratuita che offrono

Ho un loadbalancer che usa ha proxy per reindirizzare al mio server delle applicazioni

il mio server delle applicazioni è quindi collegato a un server wallet (transazione) e a un server mysql db

i comandi di transazione sono forniti dall'utente, il servizio di applicazione invia immediatamente il comando al server wallet e i fondi vengono trasferiti immediatamente

così da che posso vedere, l'attaccante sta rimuovendo monete in molte ma piccolissime transazioni, quindi è probabile che siano tutte automatizzate,

procedure adottate:

1) dopo aver cambiato completamente il server delle applicazioni e il server del wallet (da zero e nuovo indirizzo IP) l'hacker ha rimosso le monete quasi istantaneamente (entro 10-15 minuti)

2) dopo il remake e la modifica del mio server sql, stessa cosa, hackerato in pochi minuti

quindi inizialmente pensavo che il passaggio 1) avrebbe in qualche modo nascosto il mio server ip (cloudflare, laodbalancer) dall'attaccante e avrebbe reso difficile per lui l'hacking di nuovo, ma non li ha nemmeno fatti lampeggiare

Ho quindi pensato che potrebbe aver forzato la mia password del server mysql. questo significherebbe che stava aumentando il suo equilibrio (nel db), ritirando attraverso il sito e poi cancellando i record di prelievo, ma dopo aver cambiato il server e la password, nel passaggio 2), riuscì comunque a prelevare fondi in pochi minuti

la mia prossima soluzione sarà quella di creare una tabella di database che contiene i comandi di prelievo e quindi il server di transazione può prelevare autonomamente quei prelievi e posso anche impostare dei limiti lì,

Volevo solo sapere che cosa pensano le persone prima di affrontare questo sforzo e se potevo mancare qualcosa di ovvio a qualcun altro (anche se so che nulla di ciò porta molto se abbastanza dettagli)

Grazie in anticipo per l'aiuto, è davvero apprezzato, al momento il mio sito non può funzionare a causa di questo: /

PS: se hai bisogno di maggiori informazioni per favore fammi sapere

    
posta beepbaapboom 19.04.2015 - 22:36
fonte

1 risposta

1

Per ricapitolare:

  • Hai cambiato server applicazioni
  • Hai modificato i parametri di rete
  • Hai cambiato server database

Ancora inutilmente. Ciò che è logicamente rimasto, quindi è:

  • La tua applicazione
  • Il servizio di bilanciamento del carico

Suppongo che il bilanciamento del carico di HA non faccia molto e faccia parte dei servizi di Cloudflare. Pertanto, sembra che la tua applicazione web sia il punto vulnerabile.

  1. Hai preso in considerazione l'idea di ottenerlo?
  2. Hai più utenti / password?
  3. Sei l'unica persona con accesso a quel server o condividi le credenziali di amministratore con altre persone?
  4. Sei sicuro che non stai arrotondando i valori in qualsiasi software che utilizzi? Hai controllato la blockchain contro una terza parte per verificare che piccole quantità vengano effettivamente trasferite dal tuo portafoglio?

Se tutto il resto fallisce, inizia il controllo del tuo computer o dei metodi di accesso: forse, come suggerisce uno dei commenti, il tuo computer è compromesso.

    
risposta data 20.04.2015 - 09:38
fonte

Leggi altre domande sui tag