展开

关键词

XMR恶意案例简析

XMR程序耗肉鸡CPUGPU资源,网页程序耗访问肉鸡服务器JS 网页的客户端资源 。? zjgw至tmp4.3)运行恶意程序+配置文件(同3.4)4.4)下载并运行恶意tmpshz.sh(同3.5)5)Monero Javascript网页在Victim全盘查找js文件,并插入网页 在Victim全盘查找js文件,并插入网页JSdocument.write();1)curl -I http:t.cnEvlonFh;短网址指向https:xmr.omine.orgassetsv7 JS网页的客户端资源进行XMR网页。 建议措施:(1)账号加固;(2)系统资源、网络、进程监控;(3)检查系统是否有恶意资源滥用情况(ELF程序);(4)检查系统是否有恶意JS网页(网页);(5)其他*文作者:colinhe

1.2K20

话题讨论 | 关于网页植入代码的探讨

前一段时间有关利用网页JS的新闻屡见不鲜,其手段为黑客入侵网站后将正常网站页面嵌入恶意,用户通过浏览器访问这些站点时这些会在后台执行并大量占用资源,电脑会变慢、卡顿,CPU 利用率甚至飙升至 v=1”这个JS文件其实是一个,来源于一个在线网站ppoi.org ,类似于著名的coinhive,与之前暴力简单的嵌在正常网页中的JS相比,作者设置了setThrottle ,线程应保持空闲的时间百分比 可见作者不想像之前黑产那样不计后果暴力的去进行,而是想“细水长流”。JS中的自定义信息,包含Sitekey和Throttle值: ? 由referer头可以看出是由99e3.com这个域名跳转来的,目前推测有两种情况:该域名被黑,被嵌入跳转的JS ;或者该域名和上面跳转的域名newscdn.ysw365.com为同一个作者,其作用仅仅是用作执行的诱饵 v=1这个。 ?? 第一反应先扫下这个网站,目录如下: ? 看到网站结构便一目了然,可调用的网页内容放在a、V2、V5 目录下,正常网页根据不同的类型重定向到sohu的指定页面。

63090
  • 广告
    关闭

    腾讯云前端性能优化大赛

    首屏耗时优化比拼,赢千元大奖

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    黑产军团控制四百万肉鸡集群,掘金区块链数字货币

    三、JS随着比特币等加密货币的火爆,JS迅速在网络横行,严重威胁网络空间安全。黑客团伙通过入侵网站植入,或者在浏览器插件中植入JS进行传播。 当用户访问的网页中植入时,或者带有恶意的浏览器插件时,浏览器将解析的内容并执行,这将导致浏览器占用大量计算机资源进行的执行会使用户计算机出现卡慢甚至死机的情况,严重影响用户计算机的正常使用。 JS种类繁多,目前主流的植入到网页中的有Coinhive,JSEcoin等,由于Coinhive在使用上的便捷性,成为黑产团伙的首选。 3、查看该网页源码,即可找到内嵌的JShttps:coin-hive.comlibcoinhive.min.js??

    44120

    应急响应系列之OA被入侵分析报告

    图 2-OA 加载 JS 对这一 JS 进行分析,发现该的确被植入 JS ,具体如下:?图 3-OA 加载?图 4- JS 代码功能?图 5- JS 源码? 图 17-mr.sh 内容2.3.4.2 wc.conf 分析wc.conf 该文件主要为的配置文件,里面包括池地址、工名以及的相关配置。? 2.3.5 历史命令分析通过对历史命令分析,可以看到曾执行以下恶意。通过对内容分析,发现其是一个,和 http:www.tionhgjk.com:8220mr.sh 为同一。? 图 20-192.99.142.246:8220mr.sh 恶意内容结论:历史命令发现曾执行恶意主要功能为下载程序。 目前追溯到 2018 年 10 月 29 日已被植入程序;2018 年 11 月 8 日或更早被植入 JS 代码进行12.

    29710

    看片要当心了,不良网站不只掏空你,还可能掏空你的电脑!

    概况 近日,腾讯电脑管家发现有多个网站在其网页内嵌了JavaScript,用户一旦进入此类网站,JS就会自动执行,占用大量的机器资源以取门罗币,使电脑出现卡慢问题。 据分析,内嵌JS的站点主要有色情视频、小说、网页游戏等类型,由于这类站点打开后往往会停留一段时间才出现界面,用户比较不易感知到机器卡慢,这也成为不法分子利用该类色情网页的原因之一。 查看该网页源码,即可找到内嵌的JS机https:coin-hive.comlibcoinhive.min.js ?? 4. 该JS机是由Coinhive提供的一个服务,采用了Cryptonight算法门罗币,而Cryptonight算法复杂、占用资源高,常被植入普通用户机器,占用其CPU资源来。 7.据统计,大都内嵌js的都是一些色情网站。 总结 建议用户保持健康的上网习惯,勿打开来历不明的站点,同时保持安全软件的开启状态,及时拦截危险网页的恶意行为。

    44040

    shell 病毒分析

    一.简介为公司服务器被,找到的下载机的。但看到这么多行,应该是不止是,还做了别的事情。分析和学习此类,可以防范和解决部分问题。二.内容#!

    16520

    “黑球”攻击仍在行动:从检测杀软到安装

    附件readme.doc是一个RTF文档,其使用漏洞触发执行JS进一步通过PowerShell命令从远端服务器下载恶意的PS在内存中执行,达到“无文件”的效果。? 漏洞触发后会执行QBNLaW1s7vq5bki.sct文件,该的作用是通过CMD命令执行恶意的PowerShell命令,在目标设备中植入程序。? 恶意的PS分析通过漏洞触发的JS我们知道它下载了2个PS,分别是7p.php和mail.jsp。具体调用逻辑是通过7p.php中的bpu函数执行恶意的mail.jsp内容。? payload内容分析我们看到此有对计划任务blackball的判断,看是否目标设备已经中了此病毒。称为“黑球”行动的来源也是如此。?首先会判断系统中是否有安装杀软产品,如果有则自动卸载他们。 然后检查是否存在“黑球”计划任务,如果存在,则不进行恶意行为,说明此系统已经感染过该病毒,反之则进行后续的注册表、服务和文件的程序相关的恶意操作(详细可参考腾讯发布的相关程序分析)。?

    66320

    病毒无处不在—Coinhive android APP滥用分析报告

    经过分析为Coinhive网站API在android平台的滥用,Coinhive其初衷是为消除网站各种烦人广告,将JS lib嵌入网站,当用户浏览网页时消耗用户CPU资源为网站所有者掘门罗币来代替广告收入 此次蔓延至android平台应用,使用地打包的JS连接Coinhive网站API,一旦用户打开APP会跳至一个(虚假)推广激活Webview页面,后台CPU大量占用。 如未卸载处置将会随系统自启动在后台服务中持续,消耗用户资源。 该服务主要作用为创建CoinHive实例并向其传递固定key:6GlWvU4BbBgzJ3wzL3mkJEVazCxxIHjF及三个必须参数:? CoinHive最终调用APK地打包的JS实现功能:???防范建议目前该类恶意APP从VirusTotal各安全厂商的检测结果来看还非常新鲜,告警率极低。?

    49480

    想要“”致富?小心这些方式让你被,让别人致富!

    由于“”几乎完全不需要人工成,硬件平台成也不算很高,参与进来的门槛很低,并且可以实现24小时不间断产出,因而广受追捧。小白如何?很简单啊,帽子、锄头和探照灯就可以了!好,不开玩笑。 在这三种方式中,因为个人到的几率越来越低,所以可谓是低成、低风险,也是一种主流的方式,即大家组团一起池有很多,质上就是各类服务器。 一:看小电影的你2017年7月,来自腾讯管家的安全研究人员发现,有多个网站在其网页内嵌了 JavaScript ,用户一旦进入此类网站,JS 就会自动执行,占用大量的 CPU 资源以取门罗币 该JS机是由 Coinhive(专门提供JS引擎)提供的一个服务,采用了 Cryptonight算法门罗币,而Cryptonight算法复杂、占用资源高,常被植入普通用户机器,占用其CPU 于是他就在Twitter上喊话星巴克:歪~老兄,你家公共Wifi被黑客爷攻击了,快来看看哪~十天后,星巴克回复他,运营商正在处理了......根据公布的可以看出,黑客主要通过入侵WIFI连接页面,

    79220

    病毒WatchBog清除

    Linux watchdogs 感染性隐藏病毒。网上都在讲watchBog,有什么用,能做什么事,没有特别好的方法去应对变种的病毒。 我从定时器的地址里面,找出了 python base64 转码的 。解码后,发现了在 shell 中有他们留下的联系方式。 crontab 如下 :该crontab任务实现从 hxxps:pastebin.comrawsByq0rym 下载shell并执行,shell内容为:使用base64进行转码后,可以看到下载执行的文件内容 留言挺有趣的我试着联系了一下,结果对方发送了一份 clean …clean.sh :```powershell#! 经过几天测试,确认了我方感染源为 jenkins ,关闭服务,服务器病毒终于彻底解除也有可能会是其他的服务,需要自行确认。

    6510

    真实网站劫持案例分析

    跳转判断下面通过在实际工作中遇到的JS来阐述JS劫持来实现跳转的方法。 前端劫持案例2.1 原理前端劫持一般都是在网站的相应页面中插入JS,通过JS来进行跳转劫持。2.2 表现与检测前端劫持的话浏览器会执行相应的JS,因此我们可以通过抓包来进行检测相应的JS。 另外也可以打开相应的页面分析其源码来进行判断,通过源码找出所有加载的JS,然后再对JS进行分析。 目前黑帽做SEO除了上面的外,还有植入JS的。不过在实际工作中只在服务器上遇到被植入程序,自己并没有遇到过在网站中植入JS。 网上看到有遇到过植入JS来进行的,所以网站页面代码中的JS也是网站安全分析的重点。后期云悉情报平台会加入恶意JS的识别与分析,遇到相关案例时再和大家分享。

    1.8K60

    快讯 | 继CoinHive后,JQuery官方博客也被黑了

    CoinHive HackCoinHive 是一家为其他网站提供 JS 的公司,这些可以帮助站长利用网站访客的计算机 CPU进行,代替广告收入。 而海盗湾用的就是 CoinHive 提供的代码,那要如何定义这些代码呢?它们既不是病毒也不是木马,安全人员认为,在用户不知晓的情况下偷偷利用用户计算机算力进行是不道德的。 周一(10月23日),黑客拿到了 CoinHive 的 CloudFlare 账号,改变了网站的 DNS 解析,网站上存放的代码也动了手,影响了上千网站。 站点使用代码,我们如何预防上文中提到的海盗湾,在发现偷偷运行代码之后,也对此事做出了回应,表示这只是一次24小时的替代广告测试,并不会长久使用。 还有报告表示,黑客在攻击网站的时候,会偷偷在网站代码中嵌入代码。因此,用户需要对此保存警惕。谷歌研究人员对此表示,Chrome 或会开发出新的安全功能,默认阻止代码的运行。

    34590

    Cryptojacking浅析

    据不完全统计,Alexa前100W域名中,共包含大约1700个域名,涉及到28种以Coinhive为首的恶意,主要的掘目标是CryptoNote类加密货币,比如Monero(门罗币)、Dashcoin 1基于黑名单的检测方法文章之前有提到,这些恶意必须要嵌入到网站中才能发挥作用,那么我们就可以轻易地获取到调用这些恶意的源代码,并总结出不同恶意的特征。?? 图2 调用coinhive的script标签如图2所示,这是调用coinhive的script标签内容,其中包含了原始JS文件名称:coinhive.min.js,受益者的Key 表1 部分对应的关键字符串 关键字符串Coinhivenew CoinHive.Anonymous | coinhive.comlibcoinhive.min.jsCryptoNoterminercry.ptprocessor.js 2基于CryptoNight加密算法特性的检测方法不同于比特币,CryptoNote类加密货币可以在普通PC机上掘,主要原因是掘此类货币所使用的大部分是基于CryptoNight算法编写的

    46210

    蠕虫病毒“柠檬鸭”持续扩散 多种暴破方式攻击用户电脑

    病毒入侵用户电脑后,会执行木马下载器PowerShell。该运行后会下载执行模块和病毒传播模块。根据火绒此前报告显示(详见资料1),近年来通过暴破方式入侵电脑进行的蠕虫病毒呈增长趋势。 PowerShell命令行 下载得到的PowerShell下载器(经过去混淆后)如下图所示:?去混淆后的 下载器木马的主体功能为下载执行模块和病毒传播模块。 下载的会创建计划任务运行PowerShell命令行,从而进一步在被感染的新机器上进行和病毒传播。 并将木马下载器jsflashplayer.tmp放入不同用户的%APPDATA%目录下, 并将启动快捷方式flashplayer.lnk放到不同用户的开机启动目录中。? 在新感染的机器上创建计划任务同时在if.bin中,病毒还会定时停止和删除主机上的一些服务、计划任务和其他的程序,为自身腾出资源空间。具体代码,如下图所示:?

    43840

    藏在短链接下的木马:NovelMiner

    次发现的NovelMiner木马通过取ETN币(以利坊币)获利,按一台普通电脑机器0.66 Khashs算力计算,每天可以取到20枚ETN币(以利坊币),月收益约为130人民币。 0x2 详细分析该木马最早出现在2017年8月29日,到现在历经四次版升级:V1.0版:母体为自解压格式文件,内嵌VBS,活跃时间为2017.8.29—2017.10.17内嵌的a.vbs内容比较简单 V2.1版:在V2.0版基础上还有一次小升级V2.1版,活跃时间2017.10.23—2017.11.14,这次主要对代码做了混淆,该版SFX文件会附带两个VBSrun.vbs以及conf.vbs 从pdb信息可以看出,该木马已经到了V3版了,从作者机器名可以看出属于俄语区,“роаипроаип”英文译作“NovelNovel”,此木马取名为“NovelMiner”。 腾讯电脑管家提醒用户不要随意点开未知来源的陌生链接,电脑管家的“反防护”功能已覆盖电脑管家全版用户,为用户拦截并预警各类木马程序和含有js网页的运行,保持电脑管家运行状态即可对此类木马进行全面拦截

    42420

    伪造微软等企业签名 恶性病毒偷比特币+

    火绒查杀截图  二、 详细分析近期,火绒截获到病毒样,该病毒会通过访问C&C服务器下载执行多种病毒模块,病毒模块功能包括:、勒索、信息窃取。 该病毒运行之后首先会执行3个远程,分别下载勒索病毒,病毒,并且还可能会下载间谍病毒。勒索病毒会常驻后台,等待勒索时机。 (64bit),这两个函数会释放出不同版的evil.js,从而下载对应的病毒,相关代码逻辑,如下图所示:? 解密后的代码病毒(文件名:explorer.exe,与资源管理器进程名一致)相关关键数据,如下图所示:? 相关数据 ?相关数据 截至2018年5月8日,根据钱包地址查询到结果,如下图所示:? 相关数据 其他:在我们的测试过程中发现,由于远程会发生改变,还有可能下载该间谍病毒, 该病毒让浏览器安装adblockplus插件,通过向js文件写入片段代码,实现过滤用户比特币钱包信息,用于窃取用户信息

    18210

    Xbash恶意软件安全预警通告

    恶意的主要功能是杀死机器上其他程序,下载由Iron cybercrime小组开发的程序,并将Xbash 自身下载到目标系统中以进一步传播。 五、执行若样检测到运行在windows环境下,则利用Redis命令执行漏洞,调用shell命令,通过mshtaregsvr32尝试通过远程服务器下载用于部署恶意软件或coinminer程序的js 。 Windows下模块启动的powershell:? Windows下模块启动的JS:? 若样检测到自身运行在windows环境下,则利用Redis命令执行漏洞,调用shell命令,通过mshtaregsvr32尝试通过远程服务器下载用于部署coinminer程序的js

    21910

    恶意攻击现状分析

    由于其开源,跨平台和币种类别支持丰富,它已经成为各类程序的核心。②嵌入恶意JS网站。网站被植入恶意后,会利用浏览该网站的用户计算机资源进行获利。 ,注入执行下载恶意程序,比如Redis未授权访问漏洞。 ④恶意网站。用户在不知情的情况下,浏览被植入的网站,从而无偿贡献自己的算力为攻击者,关闭网页后恢复正常。⑤不排除公司内部人员私自利用内网机器的资源进行。 Coinhive类。 另外,存在网页所有者主动将嵌入到个人网站或博客中的情况,使用访客的计算机资源增加自己的收益,不过这种做法会极大影响用户体验。??

    1.2K50

    一次入侵应急响应分析

    程序被植入时间2017年12月19 日16:29数字货币类型XMR 门罗币,一种全匿名的数字货币。 XMR数量与价值7.6XMR 人民币约6000元?池网站?黑客XMR数量? 其主要目的在于通过黑帽SEO获取经济利益,一般情况下,黑客植入博彩内容有以下途径:前端劫持前端劫持一般都是在网站的相应页面中插入JS,通过JS来进行跳转劫持。也有发现黑客直接修改相应的页面内容的。 这些文件是动态每次加载时都会加载的配置文件,如访问x.php时会加载conn.php。 这样的话,只需要修改这些全局的动态文件(如global.asax),访问所有的aspx文件时都会加载这个global.asax文件,可以达到全局劫持的效果。

    45420

    当你“吃鸡”的时候,黑客正将你的电脑变成“鸡”!

    怎么对苦兮兮的感兴趣了呢?原来,其目的就是通过木马控制“肉鸡”来赚钱!近日,腾讯反病毒实验室发布了《2018年Q2季度互联网安全报告》(以下简称:报告)。? 据该报告显示,2018年Q2季度各式各样的类木马病毒多达数千个变种,涉及十多种数字货币,78.08%的木马病毒样是用于取比特币。 原因很简单,即需要高配置的电脑。一方面,“吃鸡”游戏对于配置要求较高,尤其是显卡,同时也适合。另一方,高端网吧也专门面向游戏玩家,并且数量较多,容易搭建集群。? 其次,也有不少以网页程序进行类病毒,例如JS和HTML等,大约为7%左右,多见于色情、赌博等非法网站。? 据报告显示,78.08%的木马病毒样是用于取比特币,而其取他类型加密数据货币的病毒样占21.92%,其中就包括以太币、门罗币等。这一现象与比特币现在的地位和价值走势一致。

    35220

    相关产品

    • 游戏玩家匹配

      游戏玩家匹配

      游戏玩家匹配(GPM)为您提供灵活、强大的玩家匹配服务,支持多种匹配算法。开发者无需实现复杂的匹配逻辑,通过简单的脚本配置即可实现各种场景的匹配需求。您还可以直接将匹配结果进行对战托管。使用 GPM 可以极大简化您的游戏研发工作量,并有效优化游戏内玩家互动体验。

    相关资讯

    热门标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      扫码关注云+社区

      领取腾讯云代金券