BitcoinBG.eu

[2GOOD]

От няколко дни се наблюдава една атака, която най-вероятно използва стратум протокола и spoof-нато ип да излъже миньорския софтуер (cgminer/bfgminer) че басейна си сменя ИП-то, по този начин работата се пренасочва към друг адрес/басейн с ИП: 46.28.205.80

Засега май няма решение освен да блокирате достъпа до това ип от вашия рутер, аз все още се боря с openwrt и неговия firewall ама нещо не мога да му схвана принципа и не успявам да го блокирам.
Добавям му:

Код за потвърждение: Избери целия код

iptables -A OUTPUT -d 46.28.205.80 -j DROP

, но е най-отдолу и не стига да неgo, все пак отгоре е accept, а в момента съм далеч от помещението и ме е страх да бърникам повече да не си загубя нацяло достъпа.

[Drakyla]

Че за да има такава атака .. не трябва ли да имат достъп до стратум-а към който копаеш ?

[2GOOD]

Нямам представа в детайли как точно работи, но в общи линии понеже комуникацията със сървъра не е енкриптната и явно се следят по някакъв начин връзките към сървърите, след което се подава команда, която уж идва от басейна...



До момента знам, че това се случва с потребители в eligius, slush, ghash.io, адреса има изкопан поне 1 блок, а когато има атака скоростта на въпросните басейни пада с 10-20%

[Drakyla]

Аз не съм много добре със нетуоркинг-а .. ама тая картинка нещо ...
Атакуващия трябва да знае ип-то на атакувания .. за да го знае .. трябва да мине през сървъра на който атакувания е сложил машините си (и да успее да извлече информацията) . Тоест тая цялата история е някакъв проблем при самите пуул-ове и тн.

[LiX]

Това ми прилича на Man in the middle attack. Атакуващият се намесва в комуникацията между вас и сървъра, като се представя за сървъра (spoofed IP) и по този начин започвате да се обръщате към атакуващия а не към истинския сървър.
Нищо ново под слънцето, даже късно са се сетили.

[2GOOD]

Това ми прилича на Man in the middle attack. Атакуващият се намесва в комуникацията между вас и сървъра, като се представя за сървъра (spoofed IP) и по този начин започвате да се обръщате към атакуващия а не към истинския сървър.
Нищо ново под слънцето, даже късно са се сетили.

Да като атакуващия праща само един пакет указващ новото ип на сървъра, Luke говореше за някакви ъпдейти, но не разбрах кога и как.

[ironman]

От няколко дни се наблюдава една атака, която най-вероятно използва стратум протокола и spoof-нато ип да излъже миньорския софтуер (cgminer/bfgminer) че басейна си сменя ИП-то, по този начин работата се пренасочва към друг адрес/басейн с ИП: 46.28.205.80

Засега май няма решение освен да блокирате достъпа до това ип от вашия рутер, аз все още се боря с openwrt и неговия firewall ама нещо не мога да му схвана принципа и не успявам да го блокирам.
Добавям му:

Код за потвърждение: Избери целия код

iptables -A OUTPUT -d 46.28.205.80 -j DROP

, но е най-отдолу и не стига да неgo, все пак отгоре е accept, а в момента съм далеч от помещението и ме е страх да бърникам повече да не си загубя нацяло достъпа.

Има вариант с Insert той е с по-голем приоритет, преди Append "iptables -I OUTPUT -d xxx -j DROP", ама това е при положение ,че ти се налага да дропиш трафика от рутера до това IP, forward трафика е в друг chain. -A forward или -I forward.

[2GOOD]

Има вариант с Insert той е с по-голем приоритет, преди Append "iptables -I OUTPUT -d xxx -j DROP", ама това е при положение ,че ти се налага да дропиш трафика от рутера до това IP, forward трафика е в друг chain. -A forward или -I forward.

Мерси за инфото, аз го пробвах ръчно добавен най-отгоре и пак не сработи. След като го добавих и във forward си станаха нещата - май имам нужда от сън.
Заблудих се понеже и на рутера и след него имам закачени устройства.

Сега го изпробвах с ип-то на басейна и директно прехвърля на алтернативния, не е най-доброто решение но все пак е нещо докато атакуващия не си смени ИП-то.

Още веднъж мерси

[2GOOD]

Kano изкара и cgminer за мравките, където е фикснато това - не съм го тествал още:
https://github.com/kanoi/cgminer-binari ... ster/AntS1
https://bitcointalk.org/index.php?topic ... msg6533537

Не ми е останало време и да ъпдейтна на Марто cgminer-a, но може пък и те да изкарат ъпдейт скоро.

Ето го и changelog-a на версия 4.3.2:
- There's a workaround in this version to minimise the risk of the man-in-the-middle attack of redirecting you to a different pool you don't want to be hashing on. Stratum reconnect will only honour the request if the reconnect is to a server with the same domain name.

[zigzag]

Има и други IP та към които пренасочват.
Аз ползвам опцията.
"no-client-reconnect" : true,
Тя обаче може да се ползва във фикснатите копачи. Не знам до колко помага. В някой мулти пулове на моменти става трагично. Имам чувството че за определен интервал от време някой работници са блокирани. Копая с карти.

"It's a tcp injection. Not a spoofed packet. This has been verified."
http://www.reddit.com/r/litecoinmining/ ... r_exploit/