V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
collo
V2EX  ›  程序员

被黑了,现在怀疑有三个问题,请大佬指点下。

  •  
  •   collo · 2023-09-08 17:14:49 +08:00 · 5109 次点击
    这是一个创建于 424 天前的主题,其中的信息可能已经有所发展或是发生改变。

    8 月 10 日的时候,突然提示 google 账号异常登录,马上查看了下,一台 windows 终端登录了我电脑,立马改密码,踢掉,发现用 google 账号关联登录了几个交易所账号,当时没在意以为是密码泄露。

    前两天登录自己的 chrome 插件的 metamask 钱包,晴天霹雳、损失惨重,发现钱包里的 usdt8 月 xx 日被转走了,立即重装了系统。

    刚复了下盘,用的 win11 自带杀毒软件,平常也没乱装什么软件,电脑里装了一小部分破解软件。

    而且 google 账号保护应该很强,也开启了 2FA 验证(验证码使用了 chrome 的身份验证器扩展和手机 APP )

    不知道黑客是怎么登录的,有 3 个怀疑的地方,技术能力有限,大家帮忙分析下。

    1 、chrome 扩展。是否装了某些含恶意代码的扩展,获取了钱包、验证码扩展。 问题 1:chrome 扩展是否能获取其他扩展的数据?

    2 、路由器小米 AX6000 ,恩山上找了个 openwrt 固件(现在不知道是那个固件),打算重新换个知名点的固件,是否固件中置入了木马,获取了我所有流量。 问题 2:如果有这类木马,能否精准识别钱包数据,或者给电脑植马?。

    3 、路由器装了 openclash ,订阅了机场,已经稳定使用了三年了。 问题 3:机场能否精准识别流量?

    46 条回复    2023-09-11 15:42:20 +08:00
    Kinnice
        1
    Kinnice  
       2023-09-08 17:20:06 +08:00
    2,3 如果你没安装他们的根证书 ,都不可能
    arfaWong
        2
    arfaWong  
       2023-09-08 17:23:09 +08:00
    参考这个 UP 主油管频道被盗的情况
    zzznow
        3
    zzznow  
       2023-09-08 17:25:15 +08:00
    今天刚看到说是浏览器恶意插件可以获取明文密码
    collo
        4
    collo  
    OP
       2023-09-08 17:26:21 +08:00
    @Kinnice #1 电脑浏览器上吗?没装。不过装了 fiddler 的根证书,应该没影响吧。
    collo
        5
    collo  
    OP
       2023-09-08 17:26:47 +08:00
    @arfaWong #2 上次看了几分钟,没看完😅亏死了。
    collo
        6
    collo  
    OP
       2023-09-08 17:27:08 +08:00
    @zzznow #3 metamask 应该不至于明文存储密码吧。
    DJCNMHG
        7
    DJCNMHG  
       2023-09-08 17:59:37 +08:00
    “电脑里装了一小部分破解软件”
    aiqinxuancai
        8
    aiqinxuancai  
       2023-09-08 18:05:50 +08:00
    很有可能是#2 发的这种,cookie 盗用,你系统里任何在运行的 exe 都可以做到这点。
    hefish
        9
    hefish  
       2023-09-08 18:07:49 +08:00
    我觉着当时屏幕搞不好都被外人看到了。所以 2FA 才能登上去。
    ReZer0
        10
    ReZer0  
       2023-09-08 18:10:45 +08:00
    嗯,大概率 cookie 盗用了,可以绕过 2 次验证的。
    googlefans
        11
    googlefans  
       2023-09-08 18:32:15 +08:00
    我就非常不信任 chrome 的任何插件
    guisheng
        12
    guisheng  
       2023-09-08 18:50:26 +08:00 via iPhone
    我使用 chrome 都不登录账号的。。。
    collo
        13
    collo  
    OP
       2023-09-08 18:57:43 +08:00
    @DJCNMHG #7 都是用了很久的了,哎。
    collo
        14
    collo  
    OP
       2023-09-08 18:59:00 +08:00
    @aiqinxuancai #8
    @ReZer0 #10
    @googlefans #11
    @guisheng #12
    看来大概率是 chrome ,看来还是要用密码管理软件了。
    lykhero
        15
    lykhero  
       2023-09-08 19:48:02 +08:00
    有点好奇,像 windows defender 这种,能防止本地的恶意程序进行的 session cookies 盗取么?
    Hyschtaxjh
        16
    Hyschtaxjh  
       2023-09-08 20:08:47 +08:00 via iPhone   ❤️ 2
    哎 大额资金一定要离线不触网。。
    区块链黑森林自救手册
    https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md
    learningman
        17
    learningman  
       2023-09-08 20:31:41 +08:00 via Android
    @lykhero defender 不怎么做行为审计的,如果你想要你应该装个 360
    MegatronKing
        18
    MegatronKing  
       2023-09-08 20:34:02 +08:00
    VPN 和 Web 代理之类的,想要精准识别流量很难,虽然安装了 CA 证书能够解密流量,但是痕迹特征太明显,所以基本上不会用 MITM 这种方式。由于 SNI 的存在,代理软件对于你访问了哪些域名还是能够知道的,但这个还不足以黑掉你的账户。
    MatthewLuky
        19
    MatthewLuky  
       2023-09-08 20:43:09 +08:00   ❤️ 1
    我也中招过,和 op 一样的情况,第一时间是发现谷歌账号被锁定了,改完密码重新登陆任然提示设备上有病毒,所有电脑下载火狐查杀发现某个 chrome extension 文件夹提示 TrojanSpy/JS.Stealer.w 病毒,删除后定位到是 Chrome 一个插件 Tree Style Tab 可能被其他病毒篡改了,拿到了 Chrome 上保存的所有密码。
    不过我没有直接的经济损失,就是短时间内修改了接近 800 个密码,然后还有申诉解封部分网站账号
    xxbing
        20
    xxbing  
       2023-09-08 21:12:42 +08:00   ❤️ 1
    肯定是机器中了木马. 使用 https://github.com/moonD4rk/HackBrowserData 这种工具导出了所有保存的密码,cookie 和 session
    yinmin
        21
    yinmin  
       2023-09-08 21:21:21 +08:00 via Android
    大概率是 chrome 插件盗窃 cookie 。现在有黑产会伪装成正规企业去投资/收购流行的插件,做免费插件的作者禁不住诱惑就会卖掉。
    justjy
        22
    justjy  
       2023-09-08 21:27:55 +08:00
    固件和机场无法给你种木马,除非你装了根证书或者用了不加密的协议(如 HTTP, FTP )。大概率是楼主 Session/Cookie 数据被盗,黑客绕过 2FA 直接访问账号了。最好不要再用破解软件了,有可能潜伏着拉取木马远程控制电脑。
    cdlnls
        23
    cdlnls  
       2023-09-08 21:28:02 +08:00
    应该是电脑中了木马,有后门,拿到权限之后,导出浏览器上的 cookie 和保存的密码很容易。
    loganovo
        24
    loganovo  
       2023-09-08 21:36:33 +08:00
    @yinmin 吓得我赶紧去删了好几个插件
    oldshensheep
        25
    oldshensheep  
       2023-09-08 21:51:12 +08:00
    很明显是中了木马了,MetaMask 就算是拿到本地数据也没用,数据是加密的。一个可能是弱密码,或者你解密之后木马读内存。

    4 万 USTD ???
    rabbbit
        26
    rabbbit  
       2023-09-08 21:52:52 +08:00
    chrome 都装了哪些扩展?
    amlee
        27
    amlee  
       2023-09-08 21:59:28 +08:00
    4w USTD ,老哥牛逼哦
    lwjef
        28
    lwjef  
       2023-09-08 22:22:12 +08:00 via iPhone
    先用低价值手段广撒网寻找目标,再用高价值手段实施,所以原因只能说未知。
    8863824
        29
    8863824  
       2023-09-08 22:32:43 +08:00
    电脑说实话,很不安全,只要哪个软件作恶,后果都不堪设想。最稳妥的办法,还是不要将资金放在上面。
    chxxpeng
        30
    chxxpeng  
       2023-09-08 22:59:02 +08:00
    是授权出了问题, 还是私钥泄漏? 私钥泄漏一般是 eth 也被盗. 如果只有 usdt 被盗, eth 没被盗, 可能是授权. 授权的话, 平时乱点某个网页, 或者之前授权过被黑的智能合约, 都有可能.
    oIMOo
        31
    oIMOo  
       2023-09-08 23:05:23 +08:00
    @xxbing #20 从这个工具的介绍来看,Windows “最安全”的 IE (怀疑是懒得适配了?),然后 macOS 除了 Safari 之外,其他还有额外一步的安全措施。
    本来想问多装几个浏览器,每个浏览器做不同的事情能不能隔离开,看了工具发现不行……
    slowmist
        32
    slowmist  
       2023-09-08 23:23:10 +08:00
    @xxbing 和谐小组大佬?
    Ericcccccccc
        33
    Ericcccccccc  
       2023-09-08 23:28:31 +08:00
    最有可能的就是 chrome 的扩展.
    ltfree
        34
    ltfree  
       2023-09-08 23:35:09 +08:00
    google 关联 metamask 钱包?这是什么操作
    woyuzhuanyiyi
        35
    woyuzhuanyiyi  
       2023-09-09 00:32:32 +08:00
    OP 也太粗心了,装着 4 万 U 的钱包电脑上竟然敢装破解软件,安全知识急需加强。重资产设备不说一定要冷钱包吧,至少不安装破解软件,不安装野鸡浏览器插件。又或者可以浏览器多用户,钱包插件的那个用户环境是干净的
    anzu
        36
    anzu  
       2023-09-09 01:15:16 +08:00
    看了一下 2 楼的视频,大小不到 2MB 的安装文件我是不会直接运行的,相当可疑。如果要一定要运行,断网+沙盘。
    另外我登录交易所时会新建无痕窗口并关闭浏览器上所有插件。
    kkk9
        37
    kkk9  
       2023-09-09 02:14:15 +08:00
    > 登录自己的 chrome 插件的 metamask 钱包

    看到这里就笑了,OP 先去看下是不是信任了关联网站,并且授予了合约,人家直接操作合约就可以转账了。

    几年前的盗 U 合约就是这样运作的。
    artieo
        38
    artieo  
       2023-09-09 05:32:59 +08:00
    火绒安全,高级防护里面的自定义防护,把谷歌安装目录添加到保护中 C:\Program Files\Google\*,创建读取修改删除都选上,屏蔽火绒上网权限,基本上就没问题了,别乱下一些乱七八糟的东西,火绒驱动 kill 会导致防护所有失效
    collo
        39
    collo  
    OP
       2023-09-09 10:52:31 +08:00
    哎,昨天借酒消愁去了,感谢楼上各位大佬。大学没认真听课,还得补强自己的知识。
    F4NNIU
        40
    F4NNIU  
       2023-09-09 11:46:07 +08:00
    做好安全,想办法补仓。
    csznet2023
        41
    csznet2023  
       2023-09-09 16:45:20 +08:00
    @arfaWong 哥,你知道他这个抓包软件是什么吗
    Cambrian07
        42
    Cambrian07  
       2023-09-09 19:34:31 +08:00
    建议联系一下 余弦 大佬,可能追回来不太可能,但是最好也搞清楚这次被盗究竟是怎么发生的
    dode
        43
    dode  
       2023-09-09 21:30:53 +08:00
    chrome 的身份验证器扩展 是什么东西,看起来不靠谱
    dode
        44
    dode  
       2023-09-09 21:34:13 +08:00
    电脑里装了一小部分破解软件 哎
    go233
        45
    go233  
       2023-09-11 09:44:23 +08:00
    估计是 chrome 插件的问题
    1d074bfa18d34f6c
        46
    1d074bfa18d34f6c  
       2023-09-11 15:42:20 +08:00
    4w usdt ? 有没有可能是内鬼?也太精准了吧?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1874 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 16:27 · PVG 00:27 · LAX 08:27 · JFK 11:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.