当前页面: 主页 > 社区 >

社区

高考录取查询系统被植入挖矿代码?2500个网站暗
更新时间:2021-10-14

  部分素材来源:百度安全实验室,腾讯御见威胁情报中心,FREEBUF,轻松三哥,程序员头条,极客范@Elvis Loo 等;

  这几天高考分数和分数线陆陆续续的出来了,几家欢喜几家忧,但作为一个已经毕业很多年的“老家伙”,关注高考这件事的原因是周末的一个新闻:

  据腾讯御见威胁情报中心透露,它们发现某重点大学“高考录取查询系统”页面被植入挖矿代码,访问后会自动执行挖矿程序,挖取门罗币,导致电脑 CPU 占用达 100%,运行严重卡慢。

  据悉,他们已经在湖北、山东、黑龙江、河南等多个省份多所重点大学的官方网站监测到挖矿木马。并且建议,没有相关专业知识的考生最好通过安装安全软件等进行防护。

  @stevapple:突然想起来之前有人用爬虫爬各高校首页,结果只有浙江大学的服务器返回了一串“系统检测到您正使用非法手段访问浙江大学网站”;@列_日月_明:不是我说,很多高校的网页看起来比12306还要老旧;@不走寻常路:考生都不放过,太过分了!@Druids:论WAF的重要性(注:网站应用级入侵防御系统。英文:Web Application Firewall)

  其实这样的钓鱼木马事件真的很多,只不过通过高考这一全民关注的事情被大众推到了风口浪尖...

  关注安全领域和区块链技术的朋友应该都知道,自从币圈火起来之后,使用钓鱼攻击以盗取用户虚拟货币钱包事件层出不穷,这也为虚拟货币玩家们带来极大的风险和困扰。

  常用的手法就像伪装成知名虚拟货币钱包网站发送的邮件,钓鱼邮件几乎伪装了一切细节来骗取用户的信任,一旦用户疏忽大意进行登录,钱包ID和密码便会被不法分子盗取。

  除了钓鱼攻击外,这些不法分子入侵网站并植入挖矿恶意代码的手段也越来越多。

  百度安全公布的数据显示,近一年来有超过60万个站点被黑后篡改了违法内容,日均检出被入侵站点已超千愈个。值得关注的是,被黑而被动参与挖矿的站点正在增多,除了安全性较差的企业网站外,以色情站点占比最大,这主要由于色情站点的访问量大、用户停留时长,挖矿收益可观。

  占比最多的是企业网站比例高达62%,排在后面的依次是色情、博彩、游戏、小说以及视频等类型网站。图片来源:FREEBUF

  这...当你们在这些网站里享受生命的美好时,想一下你的电脑其实正在被别人控制,会不会多了一丝尴尬...

  除此之外,当我们通过浏览器访问这些站点时,挖矿脚本便会在后台执行占用大量CPU,电脑因此会变慢或卡顿,严重影响我们的上网体验。

  就好比一个普普通通的网站,打开网页后平常安安静静的笔记本电脑就会风扇狂转,甚至产生啸叫声,大概率就是中招了。

  并且 Trustwave SpiderLabs 的另一份报告显示,如果用户打开内嵌挖矿代码的网站后不关闭,每台电脑每个月都会多消耗2.9-5美元的电费,这还不算对硬件寿命的额外损耗。

  调查发现网站 Coinhive()提供了可植入到网站页面中的门罗币挖矿JavaScript API,只需植入到网站页面中用户访问时便可实现门罗币挖矿。

  门罗币 (XMR) 是基于CryptoNote协议的新一代匿名虚拟货币。门罗币所有的交易都是保密的,你可能知道发生了一笔交易,但是诸如金额、资金流向等交易的内容是无法被追查到的。

  不同于比特币,门罗币挖矿Cryptonight 算法是专门设计,能够很好的在网页上运行。网页“挖矿机”开始变得可行。

  同时Coinhive 提供的挖矿JavaScript API 使用非常简单,只需要在页面中加入如下的代码:

  ‘SITE_KEY’ 参数是在Coinhive网站注册后创建的,是一个挖矿API Key用于植入到挖矿JavaScript API中,挖矿的收益将归属于此API Key对应的账户。此外注册用户还有一个不对外公开的Secret Key用于验证令牌或者获取账户余额。

  可选参数‘options’可以定制挖矿线程的空闲时间比例,从而达到调整挖矿脚本在用户电脑上占用CPU比例的目的,这样使得挖矿行为变得更加隐蔽,用户也难以察觉。

  Coinhive网站宣称如果站点保持10-20个活跃矿工,当前挖矿难度下每月会有0.3个门罗币的收益,上海麦乐鸡已下架 肯德基送餐。约155元人民币(基于2017年10月11日门罗币交易价格计算)。

  Coinhive挖矿服务于2017年9月14日推出,声称站长再也不需要在网站中加入广告来赚取收益只需要在页面中嵌入Coinhive挖矿代码让用户的电脑为其挖矿即可,所谓挖矿代替广告。

  此想法看上去很美好,但并非用户本意,是以损害用户体验为代价的。然而在利益的驱使下,不少网站都加入到了门罗币挖矿的大军中。

  下图所示是一批被黑站点中植入挖矿恶意代码中的一例,这批网站的挖矿的API Key都为同一个(“JY0YwxRsjemcIxmBeLyup2loNaSqOOyn”),挖矿的收益将都归属于该API Key对应的账号所有。

  技术沙龙:6月30日,与多位专家沟通探讨技术高速发展下如何应对运维新挑战!