在自己的网站上嵌入挖矿脚本 – 码农头条
在自己的网站上嵌入挖矿脚本
在自己的网站上嵌入挖矿脚本话题讨论 | 关于网页植入挖矿代码的探讨
前一段时间有关利用网页JS挖矿的新闻屡见不鲜，其手段为黑客入侵网站后将正常网站页面嵌入恶意挖矿脚本，用户通过浏览器访问这些站点时这些脚本会在后台执行并大量占用资源，电脑会变慢、卡顿，CPU 利用率甚至飙升至100%。最近上网浏览网页的时候发现电脑CPU有升高，但是也在 70%以下，以为是后台运行一些更新程序什么的，结果没想到抓包一看是挖矿脚本！
数据包如下：
“newscdn.ysw365.com/static/v5/js/cssloader.js?v=1”这个JS文件其实是一个挖矿脚本，来源于一个在线挖矿网站ppoi.org，类似于著名的coinhive，与之前暴力简单的嵌在正常网页中的挖矿JS相比，作者设置了setThrottle，线程应保持空闲的时间百分比，用来控制CPU资源占用率，使得用户不会轻易发现自己被人利用挖矿。可见作者不想像之前黑产那样不计后果暴力的去进行挖矿，而是想“细水长流”。
JS脚本中的自定义信息，包含Sitekey和Throttle值：
此时我机子的CPU利用率为66%，与之前的接近于100%的利用率，更不容易被发现。
由referer头可以看出是由99e3.com这个域名跳转来的，目前推测有两种情况：该域名被黑，被嵌入跳转的JS脚本；或者该域名和上面跳转的域名newscdn.ysw365.com为同一个作者，其作用仅仅是用作执行挖矿脚本的诱饵。
访问该网站，乍看起来像正常的资讯网站：
随意点开一条新闻，发现立即跳转到sohu新闻的页面，而点击箭头指向内容，则会打开本站网页，网页源码中同样嵌入了标签来调用newscdn.ysw365.com/static/v5/js/cssloader.js?v=1这个挖矿脚本。
第一反应先扫下这个网站，目录如下：
看到网站结构便一目了然，可调用挖矿脚本的网页内容放在a、V2、V5目录下，正常网页根据不同的类型重定向到sohu的指定页面。这样白加黑的手法更加使用户不易察觉，实际访问过程中，明显感觉到可调用挖矿脚本的网页内容更加比正常网页具有诱惑性，成功诱使用户点击的概率更高。
为了找到跳转网站（99e3.com）与挖矿网站（newscdn.ysw365.com）的联系，随后查询了两个网站的whois、PDNS等信息。99e3.com 域名解析IP为101.132.163.173，关联该IP信息发现在2017年11月1日时同样可以解析到news.ysw365.com域名。这与挖矿网站的二级域名一致，可以得出结论：网站作者利用诱饵网站进行钓鱼，采用诱惑性内容诱导用户点击相关资讯，从而调用挖矿脚本为作者牟利。
newscdn.ysw365.com的Whois信息被阿里云隐私保护，无法追溯，99e3.com的Whois信息如下：
可以看出是位于福建南平的一位名叫zhangyan的人进行了域名注册，关联其邮箱地址，发现其他诱饵网站，均为“99热评”。
以上是整个关联分析过程，除了之前爆过的黑产利用入侵网站到现在黑产自己做诱饵网站进行挖矿，手段虽然产生变化，但实质并未发生改变，都是消耗用户资源来为自己牟利。
同时我有一个思考，如果说正常的网站站长自己在源码中插入挖矿代码并将Throttle降低到一定程度，我们又是自愿点击去浏览这些网站，那么这样合法吗，我们能进行谴责吗？欢迎交流~
*本文作者：fiysky，转载请注明来自 FreeBuf.COM
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
今日搜狐热点日前，星巴克某店wifi和知名激活工具KMS相继爆出被植入挖矿木马，将这个新兴的网络安全杀手推向热潮。面对逐渐肆虐的挖矿木马，360发布2017年度挖矿木马研究报告，对本年度挖矿木马的种类、发展趋势、危害进行全面分析，并提出了相关防范措施。
“寄生虫”吸血方式揭秘 “永恒之蓝”成挖矿木马助攻神器
报告详细介绍了挖矿木马的前世今生：数字货币的发行直接导致了挖矿木马的出现。由于数字货币并非由特定的货币发行机构发行，而是由挖矿机程序依据特定算法通过大量运算所得，不法分子将挖矿机程序植入受害者的计算机中，利用受害者计算机的运算力进行挖矿，这种用户不知情的挖矿机程序就是挖矿木马。随着数字货币交易价格的走高，挖矿木马数量近年来急剧增加。
比特币2013年-2017年交易价格变化趋势
如果将明目张胆的勒索软件比喻成威胁网络安全的恶魔，那么潜伏在计算机隐蔽之处的挖矿木马，就好比会吸血的“寄生虫”，这种“寄生虫”的敛财方式主要有两种——僵尸网络和网页挖矿。
挖矿木马僵尸网络就是黑客通过入侵其他计算机植入挖矿木马，并通过木马继续入侵更多计算机，从而建立起庞大的傀儡计算机网络。2017年同样是挖矿木马僵尸网络大爆发的一年，出现了“Bondnet”，“Adylkuzz”，“隐匿者”等多个大规模挖矿木马僵尸网络。
挖矿木马僵尸网络配置“永恒之蓝”模块情况
报告中指出，早在WannaCry爆发之前，就有挖矿木马利用“永恒之蓝”进行传播，例如“隐匿者”僵尸网络，就是凭借“永恒之蓝”站稳脚跟，在2017年4月底爆发式增长。“永恒之蓝”因为攻击无需载体、目标广的绝对优势，成为本年度挖矿木马僵尸网络的标配。
在2017年9月，因盗版资源集散地Pirate Bay（海盗湾）被发现在网页中植入挖矿脚本，网页挖矿开始走入大众视线。正常情况下的用户浏览器负责解析资源和脚本，并为用户呈现最终解析结果，然而植入挖矿脚本的浏览器，解析对象就变成了挖矿脚本，利用用户计算机资源进行挖矿从而获利。
2017年11月-12月不同挖矿脚本占比
据报告介绍，网页挖矿会导致用户计算机资源被严重占用，出现计算机卡慢、甚至死机等情况，严重影响用户计算机的正常使用。目前发现的网页挖矿脚本有Coinhive、JSEcoin、reasedoper、LMODR.BIZ等众多种类，报告表明，由于Coinhive脚本的便捷性，使其成为大多数不法分子的选择。
如何应对挖矿木马敛财暗流
数字货币交易价格的走高，加上自身不易被察觉的特点，挖矿木马数量在近两年急剧增加，如同附骨之疽，成为威胁网络安全的另一大杀手。对此，报告针对挖矿木马的两种传播方式分别支招防范。
2013年-2017年国内披露的挖矿木马攻击事件
挖矿木马僵尸网络主要攻击对象为服务器，由于报告中提到，一般规模庞大的僵尸网络都有着极强的弱口令爆破能力，因此服务器应当避免使用弱口令。
同时，管理者应及时为操作系统和相关服务打补丁，避免僵尸网络利用漏洞攻击武器进行攻击，定期维护服务器，可以从CPU使用率、执行任务可疑项等方面检查持续驻留的挖矿木马。
网页挖矿脚本一般只针对PC端，因此用户防范挖矿时，应关注浏览网页时的CPU使用率，如果计算机CPU使用率飙升且大部分来自于浏览器，那么网页很可能被嵌入挖矿脚本。
此外，用户还需尽量避免访问被标记的高危网站，一般主流浏览器和杀毒软件都能够对存在挖矿行为的网页进行标记，用户不访问高危网站就能一定程度避免挖矿木马的攻击。
尽管网页挖矿比起僵尸网络更容易暴露，但是在利益的驱使下，仍有许多网站被植入挖矿脚本，其中色情网站因为高访问量成为重点植入对象。报告中指出，网页挖矿因为其隐蔽性较低，未来极有可能转移到网页和客户端游戏之中，以游戏的高消耗率掩盖挖矿运作，因此，移动平台应该警惕挖矿木马，及时作出相应防范。在 SegmentFault，学习技能、解决问题
每个月，我们帮助 1000 万的开发者解决各种各样的技术问题。并助力他们在技术能力、职业生涯、影响力上获得提升。
点击阅读原文
网页中可能包含JS挖矿机脚本！！！
日 发布，来源：
近日，腾讯电脑管家发现有多个网站在其网页内嵌了挖矿JavaScript脚本，用户一旦进入此类网站，JS脚本就会自动执行，占用大量的机器资源以挖取门罗币，使电脑出现卡慢问题。据分析，内嵌JS挖矿的站点主要有色情视频、小说、网页游戏等类型，由于这类站点打开后往往会停留一段时间才出现界面，用户比较不易感知到机器卡慢，这也成为不法分子利用该类色情网页挖矿的原因之一。
0×2 挖矿行为分析
1. 以某色情网站为例，打开后如下
图1. 某色情网站网页
2. 打开任务管理器，我们可看到该站点打开后，CPU使用率立马上升并且一直保持100%状态。
图2. CPU使用率上升至100%
3. 查看该网页源码，即可找到内嵌的JS挖矿机
图3. 网页中内嵌的JS挖矿机
图4. 网页中内嵌的JS挖矿机
4. 该JS挖矿机是由Coinhive提供的一个服务，采用了Cryptonight挖矿算法挖门罗币，而Cryptonight算法复杂、占用资源高，常被植入普通用户机器，占用其CPU资源来挖矿。Coinhive每隔数小时会根据市场情况，实时调整门罗币分配，例如截止发稿时，官方给出的是0.XMR/MH，根据门罗币当前价格换算也就是0.0825687RMB/MH。另外，Coinhive会抽取30%的收益，剩余70%的收益则由网站站点收取。
图5. Coinhive收益分配
5. 讽刺的是，Coinhive特别说明不要在不提示用户的情况下使用该服务，因为用户的利益比任何公司短期利益都要重要的多；然而实际情况是该服务已经被各个站点滥用。
图6. Coinhive提示：如使用该服务，建议先告知用户
6. 同时，通过分析发现，Coinhive提供的接口能够控制CPU使用率，使得CPU使用率不会一直过高，这样机器挖矿的同时不会变得明显卡慢，使挖矿行为更加隐蔽而难以被发现。
图7. 挖矿机控制CPU使用率
安全人员进一步分析后，发现有数百个站点存在内嵌JS挖矿机的情况。
图8. 部分JS挖矿站点
其中大部分都是色情网站
图9. JS挖矿站点类型分布
数据显示，9月中下旬JS挖矿访问量猛增，尽管本周稍有回落，但是依然有上涨的趋势。
图10. 9月JS挖矿访问量趋势图
腾讯电脑管家已对该类网站进行拦截，建议用户保持健康的上网习惯，勿打开来历不明的站点，同时保持安全软件的开启状态，及时拦截危险网页的恶意行为。
*本文作者：腾讯电脑管家，转载请注明来自 FreeBuf.COM
既然是有害网站，为什么要打码？
既然是有害网站，为什么要打码？
换句话说，腾讯电脑管家知道你在访问黄网了
换句话说，腾讯电脑管家知道你在访问黄网了
@lloyd_zhou 腾讯管家不是重点，转载的。。。
@lloyd_zhou 腾讯管家不是重点，转载的。。。
我要该，理由是：
关闭理由：
删除理由：
忽略理由：
推广（招聘、广告、SEO 等）方面的内容
与已有问题重复（请编辑该提问指向已有相同问题）
答非所问，不符合答题要求
宜作评论而非答案
带有人身攻击、辱骂、仇恨等违反条款的内容
无法获得确切结果的问题
非开发直接相关的问题
非技术提问的讨论型问题
其他原因（请补充说明）爱卡汽车_中国领先的汽车主题社区、汽车资讯、汽车论坛中心