加密货币兴起滋生了新的罪恶?

in #evil7 years ago

几天前,一个客户找到我,说他们的服务器被黑了,chrome浏览器访问他们站点,会弹出安全提示,说网页包含恶意脚本。


(图源 :pixabay)

按我以往的经历,网站被报病毒,大部分是站点上的软件打包时使用的加壳软件,或者软件好多年没有更新。我来扫一下哪个出的问题,就可以针对性解决了,于是我用 https://www.virustotal.com/ 扫了一下他们站点,virustotal包含很多反病毒引擎,可以扫描文件或者网页,看看都有哪些引擎报病毒,但是virustotal扫下来,66个引擎无一报病毒。

这就尴尬了,最终还是客户从chrome的提示信息那找到是Norton的引擎报的错,我一看virustotal,Norton呢? 赛门铁克呢?我明明记得这里边含这个引擎的啊。看来果然是人老了跟不上变化了。

于是转战到Norton的站点:https://safeweb.norton.com,拿来一扫,果然一堆的恶意脚本,插到客户站点的PHP文件内。你猜这些脚本是干啥的?当用户访问客户站点时,这些脚本用用户的浏览器资源挖矿! 而用户的站点人气极其旺盛,每月流量都是几十万G,日均访问量几十万独立IP的,这么多客户被用来挖矿,这有多恐怖吧?

虽然知道了中招,但是我们却不知道如何中的招,对比分析出恶意脚本的代码以后,我查找了一些同服务器上其它站点,并未发现中招的现象,所以初步断定至少黑客还没拿到root权限。

至于从哪攻进客户站点的,原本懒得判断了。他们公司很多有有账户权限,站点密码好多人有,站点脚本也常存在一些漏洞。无外乎脚本漏洞、密码泄露、本地电脑中病毒之类的。但是出于安全我还是更新了一下服务器的内核,升级了各种软件。

然后和客户一起把站点数据回滚12月1日,这期间备份的数据可能有毒。站点数据多达几十G,弄了好久才恢复完成。然后客户再自己用本地洁净的PHP页面去覆盖,以便保留最近的更改。

等待数据恢复的期间,我查了一下日志,居然一下子就找到元凶了。一个上海的IP用客户站点的用户名密码不停的下载数据并上传感染后的文件。对比一下几次操作日期,恰恰是用户站点发现中招的时间。


(图源 :pixabay)

剩下的就不用我管了,让他们自己本地查病毒或者查内鬼去吧。不过,归根结底,都是加密货币惹的祸啊。

Sort:  

话说起来之前连南方周末网站都提示有挖矿脚本来着。

生财有道呀😀

有利益的地方就有罪恶

漂亮的帖子漂亮的介绍和解释。@oflyhigh

现在网站被挂挖矿代码的太多了。。。

= =由此可见,这个公司自己做的不咋地。

服务器切割的虚拟空间之间不做隔离,非要给root大佬的权限。= =作死。

另外你们客户好像应该是企业?那基本静态,直接动态脚本和静态分离不就行了。= =、

好像没说虚拟空间之间不隔离
也没说给用户root权限啊😳

呃,咳咳,好像说错了,应该说= =自己权限给的作死。

他们公司很多有有账户权限,站点密码好多人有。

= =我赌五毛钱,基本都是接近root的权限。

= =

我的电脑开了很多网页,所以cpu风扇一直在大声响,我老公非非说我的chrome也被人劫持去挖矿了。。。
其实我只是网页开得太多了。。。

= =你电脑内存可以再加一公斤进去。😂

再不能加了,除非连u和板子一起换

有被劫持的可能,快把他们挖的币都黑下来

不能啦,我开了五六十网页才有响,浏览器关了就没有反应了

可以装个 AdGuard,拦截挖矿脚本效果不错的说。

最近劫持几乎这种都集中在小说类网站上,而我仔细研究后竟然没半种方法解决这个问题~只能干脆每周重装chrome

有个插件,@momok说的这个 AdGuard 你装一下试试就知道了

cryptocurrency를 다루는 걸 보니 환상적입니다.