该报告总结
2015年3月17日9点27分UTC,一个未经授权的提款要求将150枚硬币从coinapult热钱包发送到这个地址:12lszexacdj9bdetzv8bkxyweabz1151aa
事务ID:a050ffade5baac2c58dc17db27a1b1a12f7efcdafc3c41f559f0e1bb7177f474
到目前为止,这些比特币没有移动他与另一个。
译者点评:清晰,容易理解。毕竟,这也算不上客户的公告,什么是不值得一提的道歉。
有关人员
- 艾拉-首席执行官,服务器的物理访问和SSH访问
- 扎克-服务器管理员,有物理访问和SSH访问
- GP – CTO,SSH访问的服务器
- 辛蒂-程序员和法医专家,SSH访问的服务器
- 贾斯廷-首席运营官,没有服务器的访问权限
- 鲁滨孙-客户服务,没有服务器的访问权限
他们两个可以直接接触到受影响的服务器,这些服务器在三级数据中心的物理安全层。
财务服务器生产四人可以通过SSH密钥的访问热点的钱包。如果你想连接到金融服务,这些人需要登录公司的VPN在命令行中,然后通过SSH登录到服务器。
笔记本电脑上面的几个关键的持有人进行检查网络中的活动事件发生后,但没有发现可疑迹象的存在,除了笔记本电脑扎克有些不太正常的行为让人想在中间人(中间人)攻击。虽然我们使用相同的本地网络的IP地址,但是他有一些奇怪的。我们在这一点上发现,扎克立即关闭您的计算机并删除硬盘方便取证。
译者点评:有人上市,包括首席执行官也不例外。这一点值得表扬,毕竟,这可能是由内部人士。关闭电源,拆下硬盘,它是保护证据的一个很好的实践。
犯罪时间
两件事发生在星期五的三月十三日天,这可能与该事件相关的。
首先,金融服务器托管在数据中心中断了一整天。受此影响,巴拿马政府网站和许多其他地方的企业已经关闭,和数据中心无法电话联系。为了恢复,扎克几乎登陆所有数据中心服务器服务。
两,GP写了一个将数据中心的搬迁计划,通过贾斯廷的电子邮件服务,爱尔兰共和军和扎克,这可能是一个攻击者提醒最后的机会,因为他们工作的渗透会在数据传输。
除了以上两点,在过去的两个星期里系统的稳定性经常出现的问题。我们遇到了一个硬盘驱动器的问题,CPU的问题,和其他效果的影响。虽然大部分的原因是众所周知的,但它可能意味着在一些恶意的或隐蔽的活动。
译者点评:服务器里面的集体崩溃的事情硬盘虽然使维修人员很疯狂,但它不是太罕见。CPU的问题不知道是一个非常小的概率事件是不是集体CPU烧毁。但如果是外人,前两件事情非常怀疑。
一条线索:金融服务
/var/log/messages auth.log似乎修改10:24 10.27 UTC,一个空白行的时间,和授权。1日志文件是空的。认证。日志。1应该在最近几天有充分的数据。
/根/。去年三月十四日38 bash_history UTC修正,最后4个:
nano auth.log nano syslog nano ufw.log ls 这些命令看起来应该是攻击者运行,因为它不符合coinapult组使用模式。就像在左后卫攻击者,试图打开这些重要的日志文件来掩饰,因为没有其他命令的输入,这表明它可能有一个根用户(管理员)为硬盘的特权,法医分析可以证明这一点。此外,“纳米”也很奇怪的,因为大多数黑客会选择不同的文本编辑器。
点评:译者是采用纳米!纳米!在这一刻,六方和Emacs党将不得不停止纷争。如果黑客不避免留下线索和使用nano编辑器,它真的有一些不寻常的。
两条线索:API和数据服务器
遭到袭击时,该API服务器的事务处理引擎发送消息(在服务器上的数据)花了30分钟,这使得客户当09:15utc联系鲁滨孙。然而,造成这种情况的原因是找到了,但是服务器有一个跌倒后将不允许直接进入热钱包或财务服务器。
译者点评:从这一点来看,球队本身在安全方面还是花了一些时间。在时间线视图,也就是快速反应。如果有任何平衡监测邮件加热钱包提醒功能,也许可以更早的检测。
三条线索:SaaS服务器
coinapult跑了第二组生产服务器租用SaaS服务器。SaaS服务器具有相同的访问及其coinapult家庭服务器(2物理访问,4 SSH访问)。在时间的盗窃,金融服务的SaaS已经超过在里面500btc,他们不感动,这表明黑客不知道钱包。当然,钱已经转移,现在是安全的。
译者点评:使用双服务器部署生产分别使这个事件并不是所有,是幸运的。
事件回放
时间是utc-5。
1:49 – Ira 请求从 Bitfinex 提取了 100BTC 放到热钱包 2:36 – Ira 登上 VPN 2:36 – Ira 登上财务服务器 2:37 – Ira 使用了发送多方的功能。这其实没有必要,因为这 100BTC 还没有出现。不过 Ira 没注意到这点。交易 ID 为:3b7e8ac67bf9597fb38a41d1b1354a3d06e9078dd0c191191bae344dc419ec1d 3:55 – Bitfinex 发出 100BTC,交易 ID 为: 4691cf88a74cc752c3777ec9952500cc04bd02ea6f979e326d3550b1581723c3 4:15 - 客户 A 通知 Robinson 关于不正常取消的交易 4:27 – 黑客提款,交易 ID:a050ffade5baac2c58dc17db27a1b1a12f7efcdafc3c41f559f0e1bb7177f474 4:54 – Robinson 给客户 A 发邮件说交易被挂起了,而热钱包的余额出奇的低 4:58 – Robinson 打电话给 Zach, Zach 开始连接 VPN 5:17 – Zach 成功登录上 VPN 5:22 - Zach 登陆到财务服务器 5:31 – Zach 发邮件说程序正在运行,但是他无法评估热钱包的情况 8:42 - Ira 已经做了足够的调查,确定已有 150BTC 被盗,并发邮件告诉了大家。 9:12 - 大部分热钱包里的资金被移到安全的地方。向客户发送通知,并将公告放在我们的网站。团队调查并确定了本报告中的内容。 译者点评:时间和所有的人物和事件的四个元素放在一起。对于更多信息关于如何走,请继续关注它。
未来的计划
首先,我们有力量,并在数据中心的硬件的隔离。我们的计划是将他们从硬盘,然后尝试获取证据,看看我们是否可以恢复操作日志或其他地方的数据。
二,扎克把他的笔记本电脑硬盘取证。
三,虽然我们的硬件是从数据中心移除,我们将监控视频数据中心要求获得访问日志和我们的情况。此外,我们将收集在三月十三日中断的更多信息。
译者点评:停机保护好证据,为了捕捉黑客的努力!
翻译概述
黑客比特币界已屡见不鲜。,与国内最近声称,失去对事件硬币150btc成千上万相比,似乎真的不是什么大不了的。但对于一个创业团队,这可能是一场灭顶之灾。幸运的是,球队选择不隐瞒事实,但积极响应,在第一时间,及时开诚布公。你知道,以前也说bitstamp公布细节,结果没有更新。
还有一点,亲自掌握他们的比特币关键是好的,对于一个企业,如何管理货币确实是一个痛点。虽然coinapult团队的报告对人很同情,但没有多签名基金管理公司适时推出,是不是没有一个内部工作会。希望这件事,这也是一个机会。在这一点上,比公开课“钱包在你的企业管理货币?”,是值得我们认真研究。
原文地址:172015三月报告发病
1mzzigba7tnnzmwvjmpejafm1wrcvsgzu5奖励地址: