话题讨论 | 关于网页植入挖矿代码的探讨

前一段时间有关利用网页JS挖矿的新闻屡见不鲜，其手段为黑客入侵网站后将正常网站页面嵌入恶意挖矿脚本，用户通过浏览器访问这些站点时这些脚本会在后台执行并大量占用资源，电脑会变慢、卡顿，CPU 利用率甚至飙升至100%。最近上网浏览网页的时候发现电脑CPU有升高，但是也在 70%以下，以为是后台运行一些更新程序什么的，结果没想到抓包一看是挖矿脚本！

数据包如下：

“newscdn.ysw365.com/static/v5/js/cssloader.js?v=1”这个JS文件其实是一个挖矿脚本，来源于一个在线挖矿网站ppoi.org ，类似于著名的coinhive，与之前暴力简单的嵌在正常网页中的挖矿JS相比，作者设置了setThrottle ，线程应保持空闲的时间百分比，用来控制CPU资源占用率，使得用户不会轻易发现自己被人利用挖矿。可见作者不想像之前黑产那样不计后果暴力的去进行挖矿，而是想“细水长流”。 JS脚本中的自定义信息，包含Sitekey和Throttle值：

此时我机子的CPU利用率为66%，与之前的接近于100% 的利用率，更不容易被发现。

由referer头可以看出是由99e3.com这个域名跳转来的，目前推测有两种情况：该域名被黑，被嵌入跳转的JS 脚本；或者该域名和上面跳转的域名newscdn.ysw365.com为同一个作者，其作用仅仅是用作执行挖矿脚本的诱饵。 访问该网站，乍看起来像正常的资讯网站：

随意点开一条新闻，发现立即跳转到sohu新闻的页面，而点击箭头指向内容，则会打开本站网页，网页源码中同样嵌入了 Script标签来调用newscdn.ysw365.com/static/v5/js/cssloader.js?v=1这个挖矿脚本。

第一反应先扫下这个网站，目录如下：

看到网站结构便一目了然，可调用挖矿脚本的网页内容放在a、V2、V5 目录下，正常网页根据不同的类型重定向到sohu的指定页面。这样白加黑的手法更加使用户不易察觉，实际访问过程中，明显感觉到可调用挖矿脚本的网页内容更加比正常网页具有诱惑性，成功诱使用户点击的概率更高。

为了找到跳转网站（99e3.com）与挖矿网站（newscdn.ysw365.com）的联系，随后查询了两个网站的 whois、PDNS等信息。99e3.com 域名解析IP 为101.132.163.173，关联该IP信息发现在2017年 11月1日时同样可以解析到news.ysw365.com域名。这与挖矿网站的二级域名一致，可以得出结论：网站作者利用诱饵网站进行钓鱼，采用诱惑性内容诱导用户点击相关资讯，从而调用挖矿脚本为作者牟利。

newscdn.ysw365.com的Whois信息被阿里云隐私保护，无法追溯，99e3.com的 Whois信息如下：

可以看出是位于福建南平的一位名叫zhangyan的人进行了域名注册，关联其邮箱地址，发现其他诱饵网站，均为“99热评”。

以上是整个关联分析过程，除了之前爆过的黑产利用入侵网站到现在黑产自己做诱饵网站进行挖矿，手段虽然产生变化，但实质并未发生改变，都是消耗用户资源来为自己牟利。 同时我有一个思考，如果说正常的网站站长自己在源码中插入挖矿代码并将Throttle降低到一定程度，我们又是自愿点击去浏览这些网站，那么这样合法吗，我们能进行谴责吗？欢迎交流~