V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
collo
V2EX  ›  程序员

被黑了,现在怀疑有三个问题,请大佬指点下。

  •  
  •   collo · 259 天前 · 4780 次点击
    这是一个创建于 259 天前的主题,其中的信息可能已经有所发展或是发生改变。

    8 月 10 日的时候,突然提示 google 账号异常登录,马上查看了下,一台 windows 终端登录了我电脑,立马改密码,踢掉,发现用 google 账号关联登录了几个交易所账号,当时没在意以为是密码泄露。

    前两天登录自己的 chrome 插件的 metamask 钱包,晴天霹雳、损失惨重,发现钱包里的 usdt8 月 xx 日被转走了,立即重装了系统。

    刚复了下盘,用的 win11 自带杀毒软件,平常也没乱装什么软件,电脑里装了一小部分破解软件。

    而且 google 账号保护应该很强,也开启了 2FA 验证(验证码使用了 chrome 的身份验证器扩展和手机 APP )

    不知道黑客是怎么登录的,有 3 个怀疑的地方,技术能力有限,大家帮忙分析下。

    1 、chrome 扩展。是否装了某些含恶意代码的扩展,获取了钱包、验证码扩展。 问题 1:chrome 扩展是否能获取其他扩展的数据?

    2 、路由器小米 AX6000 ,恩山上找了个 openwrt 固件(现在不知道是那个固件),打算重新换个知名点的固件,是否固件中置入了木马,获取了我所有流量。 问题 2:如果有这类木马,能否精准识别钱包数据,或者给电脑植马?。

    3 、路由器装了 openclash ,订阅了机场,已经稳定使用了三年了。 问题 3:机场能否精准识别流量?

    46 条回复    2023-09-11 15:42:20 +08:00
    Kinnice
        1
    Kinnice  
       259 天前
    2,3 如果你没安装他们的根证书 ,都不可能
    arfaWong
        2
    arfaWong  
       259 天前
    参考这个 UP 主油管频道被盗的情况
    zzznow
        3
    zzznow  
       259 天前
    今天刚看到说是浏览器恶意插件可以获取明文密码
    collo
        4
    collo  
    OP
       259 天前
    @Kinnice #1 电脑浏览器上吗?没装。不过装了 fiddler 的根证书,应该没影响吧。
    collo
        5
    collo  
    OP
       259 天前
    @arfaWong #2 上次看了几分钟,没看完😅亏死了。
    collo
        6
    collo  
    OP
       259 天前
    @zzznow #3 metamask 应该不至于明文存储密码吧。
    DJCNMHG
        7
    DJCNMHG  
       259 天前
    “电脑里装了一小部分破解软件”
    aiqinxuancai
        8
    aiqinxuancai  
       259 天前
    很有可能是#2 发的这种,cookie 盗用,你系统里任何在运行的 exe 都可以做到这点。
    hefish
        9
    hefish  
       259 天前
    我觉着当时屏幕搞不好都被外人看到了。所以 2FA 才能登上去。
    ReZer0
        10
    ReZer0  
       259 天前
    嗯,大概率 cookie 盗用了,可以绕过 2 次验证的。
    googlefans
        11
    googlefans  
       259 天前
    我就非常不信任 chrome 的任何插件
    guisheng
        12
    guisheng  
       259 天前 via iPhone
    我使用 chrome 都不登录账号的。。。
    collo
        13
    collo  
    OP
       259 天前
    @DJCNMHG #7 都是用了很久的了,哎。
    collo
        14
    collo  
    OP
       259 天前
    @aiqinxuancai #8
    @ReZer0 #10
    @googlefans #11
    @guisheng #12
    看来大概率是 chrome ,看来还是要用密码管理软件了。
    lykhero
        15
    lykhero  
       259 天前
    有点好奇,像 windows defender 这种,能防止本地的恶意程序进行的 session cookies 盗取么?
    Hyschtaxjh
        16
    Hyschtaxjh  
       259 天前 via iPhone   ❤️ 2
    哎 大额资金一定要离线不触网。。
    区块链黑森林自救手册
    https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md
    learningman
        17
    learningman  
       259 天前 via Android
    @lykhero defender 不怎么做行为审计的,如果你想要你应该装个 360
    MegatronKing
        18
    MegatronKing  
       259 天前
    VPN 和 Web 代理之类的,想要精准识别流量很难,虽然安装了 CA 证书能够解密流量,但是痕迹特征太明显,所以基本上不会用 MITM 这种方式。由于 SNI 的存在,代理软件对于你访问了哪些域名还是能够知道的,但这个还不足以黑掉你的账户。
    MatthewLuky
        19
    MatthewLuky  
       259 天前
    我也中招过,和 op 一样的情况,第一时间是发现谷歌账号被锁定了,改完密码重新登陆任然提示设备上有病毒,所有电脑下载火狐查杀发现某个 chrome extension 文件夹提示 TrojanSpy/JS.Stealer.w 病毒,删除后定位到是 Chrome 一个插件 Tree Style Tab 可能被其他病毒篡改了,拿到了 Chrome 上保存的所有密码。
    不过我没有直接的经济损失,就是短时间内修改了接近 800 个密码,然后还有申诉解封部分网站账号
    xxbing
        20
    xxbing  
       259 天前   ❤️ 1
    肯定是机器中了木马. 使用 https://github.com/moonD4rk/HackBrowserData 这种工具导出了所有保存的密码,cookie 和 session
    yinmin
        21
    yinmin  
       259 天前 via Android
    大概率是 chrome 插件盗窃 cookie 。现在有黑产会伪装成正规企业去投资/收购流行的插件,做免费插件的作者禁不住诱惑就会卖掉。
    justjy
        22
    justjy  
       259 天前
    固件和机场无法给你种木马,除非你装了根证书或者用了不加密的协议(如 HTTP, FTP )。大概率是楼主 Session/Cookie 数据被盗,黑客绕过 2FA 直接访问账号了。最好不要再用破解软件了,有可能潜伏着拉取木马远程控制电脑。
    cdlnls
        23
    cdlnls  
       259 天前
    应该是电脑中了木马,有后门,拿到权限之后,导出浏览器上的 cookie 和保存的密码很容易。
    loganovo
        24
    loganovo  
       259 天前
    @yinmin 吓得我赶紧去删了好几个插件
    oldshensheep
        25
    oldshensheep  
       259 天前
    很明显是中了木马了,MetaMask 就算是拿到本地数据也没用,数据是加密的。一个可能是弱密码,或者你解密之后木马读内存。

    4 万 USTD ???
    rabbbit
        26
    rabbbit  
       259 天前
    chrome 都装了哪些扩展?
    amlee
        27
    amlee  
       259 天前
    4w USTD ,老哥牛逼哦
    lwjef
        28
    lwjef  
       259 天前 via iPhone
    先用低价值手段广撒网寻找目标,再用高价值手段实施,所以原因只能说未知。
    8863824
        29
    8863824  
       259 天前
    电脑说实话,很不安全,只要哪个软件作恶,后果都不堪设想。最稳妥的办法,还是不要将资金放在上面。
    chxxpeng
        30
    chxxpeng  
       259 天前
    是授权出了问题, 还是私钥泄漏? 私钥泄漏一般是 eth 也被盗. 如果只有 usdt 被盗, eth 没被盗, 可能是授权. 授权的话, 平时乱点某个网页, 或者之前授权过被黑的智能合约, 都有可能.
    oIMOo
        31
    oIMOo  
       259 天前
    @xxbing #20 从这个工具的介绍来看,Windows “最安全”的 IE (怀疑是懒得适配了?),然后 macOS 除了 Safari 之外,其他还有额外一步的安全措施。
    本来想问多装几个浏览器,每个浏览器做不同的事情能不能隔离开,看了工具发现不行……
    slowmist
        32
    slowmist  
       259 天前
    @xxbing 和谐小组大佬?
    Ericcccccccc
        33
    Ericcccccccc  
       259 天前
    最有可能的就是 chrome 的扩展.
    ltfree
        34
    ltfree  
       259 天前
    google 关联 metamask 钱包?这是什么操作
    woyuzhuanyiyi
        35
    woyuzhuanyiyi  
       259 天前
    OP 也太粗心了,装着 4 万 U 的钱包电脑上竟然敢装破解软件,安全知识急需加强。重资产设备不说一定要冷钱包吧,至少不安装破解软件,不安装野鸡浏览器插件。又或者可以浏览器多用户,钱包插件的那个用户环境是干净的
    anzu
        36
    anzu  
       259 天前
    看了一下 2 楼的视频,大小不到 2MB 的安装文件我是不会直接运行的,相当可疑。如果要一定要运行,断网+沙盘。
    另外我登录交易所时会新建无痕窗口并关闭浏览器上所有插件。
    kkk9
        37
    kkk9  
       259 天前
    > 登录自己的 chrome 插件的 metamask 钱包

    看到这里就笑了,OP 先去看下是不是信任了关联网站,并且授予了合约,人家直接操作合约就可以转账了。

    几年前的盗 U 合约就是这样运作的。
    artieo
        38
    artieo  
       258 天前
    火绒安全,高级防护里面的自定义防护,把谷歌安装目录添加到保护中 C:\Program Files\Google\*,创建读取修改删除都选上,屏蔽火绒上网权限,基本上就没问题了,别乱下一些乱七八糟的东西,火绒驱动 kill 会导致防护所有失效
    collo
        39
    collo  
    OP
       258 天前
    哎,昨天借酒消愁去了,感谢楼上各位大佬。大学没认真听课,还得补强自己的知识。
    F4NNIU
        40
    F4NNIU  
       258 天前
    做好安全,想办法补仓。
    csznet2023
        41
    csznet2023  
       258 天前
    @arfaWong 哥,你知道他这个抓包软件是什么吗
    Cambrian07
        42
    Cambrian07  
       258 天前
    建议联系一下 余弦 大佬,可能追回来不太可能,但是最好也搞清楚这次被盗究竟是怎么发生的
    dode
        43
    dode  
       258 天前
    chrome 的身份验证器扩展 是什么东西,看起来不靠谱
    dode
        44
    dode  
       258 天前
    电脑里装了一小部分破解软件 哎
    go233
        45
    go233  
       256 天前
    估计是 chrome 插件的问题
    1d074bfa18d34f6c
        46
    1d074bfa18d34f6c  
       256 天前
    4w usdt ? 有没有可能是内鬼?也太精准了吧?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1060 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 19:04 · PVG 03:04 · LAX 12:04 · JFK 15:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.