您的位置:网站首页 > 热门源码 > 正文

话题讨论 关于网页植入挖矿代码的探讨

类别:热门源码 日期:2017-12-23 12:22:51 人气: 来源:

  前一段时间有关利用网页JS挖矿的新闻屡见不鲜,其手段为黑客入侵网站后将正常网站页面嵌入恶意挖矿脚本,用户通过浏览器访问这些站点时这些脚本会在后台执行并大量占用资源,电脑会变慢、卡顿,CPU 利用率甚至飙升至100%。最近上网浏览网页的时候发现电脑CPU有升高,但是也在 70%以下,以为是后台运行一些更新程序什么的,结果没想到抓包一看是挖矿脚本!

  “static/v5/js/cssloader.js?v=1”这个JS文件其实是一个挖矿脚本,来源于一个在线挖矿网站,类似于著名的coinhive,与之前简单的嵌在正常网页中的挖矿JS相比,作者设置了setThrottle,线程应保持空闲的时间百分比,用来控制CPU资源占用率,使得用户不会轻易发现自己被人利用挖矿。可见作者不想像之前黑产那样不计后果的去进行挖矿,而是想“细水长流”。

  由referer头可以看出是由这个域名跳转来的,目前推测有两种情况:该域名被黑,被嵌入跳转的JS脚本;或者该域名和跳转的域名为同一个作者,其作用仅仅是用作执行挖矿脚本的诱饵。

  随意点开一条新闻,发现立即跳转到sohu新闻的页面,而点击箭头指向内容,则会打开本站网页,网页源码中同样嵌入了标签来调用这个挖矿脚本。

  看到网站结构便一目了然,可调用挖矿脚本的网页内容放在a、V2、V5目录下,正常网页根据不同的类型重定向到sohu的指定页面。这样白加黑的手法更加使用户不易察觉,实际访问过程中,明显感觉到可调用挖矿脚本的网页内容更加比正常网页具有性,成功诱使用户点击的概率更高。

  为了找到跳转网站()与挖矿网站()的联系,随后查询了两个网站的whois、PDNS等信息。99e3.com域名解析IP为101.132.163.173,关联该IP信息发现在2017年11月1日时同样可以解析到news.ysw365.com域名。这与挖矿网站的二级域名一致,可以得出结论:网站作者利用诱饵网站进行钓鱼,采用性内容用户点击相关资讯,从而调用挖矿脚本为作者牟利。

  可以看出是位于福建南平的一位名叫zhangyan的人进行了域名注册,关联其邮箱地址,发现其他诱饵网站,均为“99热评”。

  以上是整个关联分析过程,除了之前爆过的黑产利用入侵网站到现在黑产自己做诱饵网站进行挖矿,手段虽然产生变化,但实质并未发生改变,都是消耗用户资源来为自己牟利。

  延伸相关词:

  陈小艺被曝姐弟恋,倒追小伙被当保姆,陆贞传奇演员表,人鱼情未了 电视剧,莫小棋三级,保拉的诱惑,李慧珍老公,luciano rivarola,如意剧情介绍电视猫,电视剧当狗爱上猫

关键词:话题网站源码
0
0
0
0
0
0
0
0
下一篇:没有资料

网友评论 ()条 查看

姓名: 验证码: 看不清楚,换一个

推荐文章更多

热门图文更多

最新文章更多

关于联系我们 - 广告服务 - 友情链接 - 网站地图 - 版权声明 - 人才招聘 - 帮助

CopyRight 2002-2012 技术支持 源码吧 FXT All Rights Reserved

赞助合作: