Hola todos, estoy flipando, alguien ha entrado en mi minero de ethereum y me ha cambiado la cartera por otra y me ha anulado el aviso por email, estoy flipando no sé como lo han podido hacer, tengo IP dinámica y en teoría es más difícil. me podían haber roto todo el hardware parando los ventiladores o cambiando el voltaje…
¿alguien tiene idea de como han podido localizar mi rig?
2 Me gusta
Ostia que chungo… Menos mal que te has dado cuenta…
¿Tenias algun programa de acceso remoto al rig?
¿Puede que estes usando PhoenixMiner? Puede ser la versión hackeada que hay rulando por ahí
Pues estoy con nanominer y si tengo control remoto entro por ssh, pero lo que no sé es como han localizado mi ip. para poder entrar han tenido que estar haciéndolo por fuerza bruta, ahora le he instalado una protección 2FA y fail2ban y nada mas poner este último ya tenía 7 ip bloqueadas, ahora lo que estoy haciendo es formateandolo y cambié el puerto del ssh por otro. estoy flipando hasta donde son capaces de llegar, menos mal que no les ha dado por joderme el hardware, sigo sin entender como me han localizado
A me olvidaba, pero es que entré en la wallet del tipo en nanominer y tenía 5 mineros más secuestrados, si quieren pongo la wallet del tío aquí para que flipen
Entonces no ganarian dinero… Es mas rentable cambiar solo el destino de la cartera. E igual exponer el 22 a internet -que con un simple barrido se saca- no es la mejor idea, o a lo mejor tienes un usuario root con contraseña debil o usada por alguien mas en ataques de diccionario con contraseñas expuestas, alguna vulnerabilidad del sistema, quién sabe…
Aca con este video te puedes guiar para saber si la version que usas del PhoenixMiner es verificada.
Cuando tumbaron los links de Mega reciente de donde se baja el Phoenix yo baje una version de los comentarios, la configure con mi Wallet y me registraba en Ethermine todo bien, luego me consegui con ese video hice la prueba y me percate que no tenia la version que era, eso me puso de cabeza y hay mismo realice todos los cambios que tenia que hacer.
He estado siguiendo la cartera en nanominer y este lleva todo el día secuestrando mineros, ya va por 8, hay algunas que se ve que han corregido el error y no los ha enganchado más pero hay otros que los engancha, al rato sale, luego lo vuelve a enganchar y así, estoy pensando que al igual este ha explotado un agujero de seguridad que puede que tenga el minero y es que tiene un entorno web para hacer monitoreo y editar parámetros, al igual ha logrado acceder a esa web, lo que sigo sin comprender es como ha localizado a esos mineros.
1 me gusta
tendrias q especificar q sistema operativo usas y como te conectas
1 me gusta
conectarse lo ha dicho, por ssh e imagino que tendrá un gnu/linux (espero que no sea hiveos) o un windows 10 con el wsl activado, yo me inclinaria por unos mineros binarios comprometidos como hipotesis por los datos que ha comentado, o lo mismo ha estado viendo un zero-day en directo…
uso ubuntu server 18.04 lo tenía por ssh y el puerto 22 solo con la protección de la contraseña del ssh, nunca me imaginé que un minero fuera jugoso para nadie ya que cuando me de cuenta restauro el minero y ya está, pensaba que era demasiado trabajo para estar un rato minando.
Ahora lo he modificado todo, hasta el puerto que lo redirijo, le he añadido 2FA google authenticator y fail2ban, por el momento no veo iP bloqueadas, aa y le he anulado el acceso por web pero si utilizo como monitoreo netdata que va por web
en que pool estabas? yo controlo en todo momento la pool por si acaso
nanominer y yo tengo el pool siempre en una pestaña en mi explorador y el netdata en otra controlando las temperaturas de las gráficas pero mira tu, mas de un año miando y un rato que bajas la guardia te la cuelan, lo he denunciado al pool a ver si esta gente ve lo que mi minero produjo y se lo sacan de la cuenta del golfo este
ubuntu server te obliga a crear un usuario root en el inicio, ¿es ese el usuario que usas o creaste a posteriori otro nuevo? en las opciones de ssh hay una opcion de inhablitar el acceso root desde ssh, activalo, minimiza los intentos de conexion antes de banear a 2-2-2, el puerto ya lo has cambiado pero lo esencial es minimizar la exposicion a internet o dispositvos comprometidos…
Antes los virus te rompian el ordenador o se hacian por fama, ahora obtienen reditos economicos y cuando las mismas paginas te enganchaban un minero cpu al visitarlas, pues imaginate si te encuentras algun puerto que sepas que use un programa determinado…
creo que al instalar 2FA ya desactiva todo eso por defecto, de todas maneras le voy a echar un vistazo pero creo que está todo desactivado… muchas gracias por los consejos, no se puede subestimar a estos, a ver si esta experiencia le puede servir a alguien más y aumenta la seguridad en sus rigs
2 Me gusta