CoinHive Hack CoinHive 是一家为其他网站提供挖矿 JS 脚本的公司,这些脚本可以帮助站长利用网站访客的计算机 CPU进行挖矿,代替广告收入。...上个月,CoinHive 在我们的视野中出现过一次,网上曝出知名种子站海盗湾利用访客 CPU 的计算能力获取 Monero 虚拟货币。...本周一(10月23日),黑客拿到了 CoinHive 的 CloudFlare 账号,改变了网站的 DNS 解析,网站上存放的代码也动了手脚,影响了上千网站。...CoinHive 也写了一篇博文对此事做出了回复: 10 月 23 日晚上,我们的 DNS 提供商(Cloudflare)账户已经被黑客入侵,而其中的 coinhive.com 的 DNS 记录也已被修改...coinhive.min.js 也已经重新定向到别的第三方服务器文件。
摘要 近日安恒APT团队截获到一批(300多个)各种类别冒充为黑客破解版本的APK样本: 经过分析为Coinhive网站挖矿API在android平台的滥用,Coinhive其初衷是为消除网站各种烦人广告...此次蔓延至android平台应用,使用本地打包的JS脚本连接Coinhive网站挖矿API,一旦用户打开APP会跳至一个(虚假)推广激活Webview页面,后台CPU大量占用。...但实际推广下载为虚假链接,真实作用还是拖延用户使用时间: CoinHiveIntentService服务除可从MainActivity启动外,也接受从系统重启Receiver启动: 该服务主要作用为创建CoinHive...实例并向其传递固定挖矿key:6GlWvU4BbBgzJ3wzL3mkJEVazCxxIHjF及三个必须参数: CoinHive最终调用APK本地打包的JS挖矿脚本实现挖矿功能: 防范建议 目前该类恶意
Coinhive 恶意软件感染近 400 个网站,其中包括美国政府、联想和洛杉矶分校的网站。 看起来加密货币的流行并没有停止,黑客依然在继续想方设法的窃取用户的计算能力来挖掘加密货币。...关于所有这些攻击的一个有趣事实是,黑客在选择挖掘服务上明显倾向于 Coinhive,它承担了超过 80%的受感染网站。...Coinhive 在推出了一项需要用户同意才能将其计算机用于挖掘的功能后获得了一些合法性。联合国儿童基金会甚至将 Coinhive 服务与此功能结合起来,为孟加拉国的儿童慈善事业提供资金。...然而,研究人员发现,「选择使用」版本通常不会受到网站的欢迎,他们选择将 Coinhive 与他们的网站整合在一起,而不会通知用户。...除非用户注意到设备上的 CPU 使用率过高,并且调查原因,否则用户无法知道他们的计算机是否正在通过 Coinhive 来挖掘加密货币。
近日,安全研究人员发现了一场针对MikroTik路由器的大规模恶意劫持活动,利用Mikrotik企业路由器中的一个已知漏洞来接管路由器,向用户访问的页面注入Coinhive挖矿脚本。...初步调查显示,黑客并不是在路由器上运行恶意可执行文件,而是通过路由器功能推送包含Coinhive挖矿脚本的自定义错误页面。...这是为了Coinhive平台屏蔽了黑客当前使用的站点密钥后,使用另一个站点密钥来替换它。 下载并执行为名为“u113.rsc”的脚本。...这个脚本正不断添加更多清理命令,进一步降低占用空间并减少将Coinhive挖矿代码注入每个网页时产生的线索,最终降低被检测的风险。...在海量的网页中注入Coinhive挖矿代码不可能不被发现,越来越多用户的怒火必然会推动用户自己和ISP调查问题的根源。
coinhive为Monero区块链提供了一种JavaScript的miner,如果你还不知道Monero区块,我先来为你解释一下,很久之前在社区中大名鼎鼎的跨站攻击注入代码来挖矿说的就是这个,“门罗币...而我们今天要教你的就是利用coinhive来挖矿,本教程不会教授你如何进行跨站攻击去注入脚本,或者进行一些隐匿的活动,不过,你可以在你的电脑上做一些开发,如果你有服务器,或者什么能24小时运行的机器,可以开着去挖...https://coinhive.com/ 首先,你要在这个网站上进行注册,推荐使用Gmail进行注册。...Coinhive can be integrated into your sites in several different ways....我写一个非常简单的项目:https://github.com/icepy/coinhive-mining ,你可以下载下来运行,点击开始或者停止来进行挖矿。
查看该网页源码,即可找到内嵌的JS挖矿机https://coin-hive.com/lib/coinhive.min.js ? ? 4....Coinhive每隔数小时会根据市场情况,实时调整门罗币分配,例如截止发稿时,官方给出的是0.00015579XMR/MH,根据门罗币当前价格换算也就是0.0825687RMB/MH。...另外,Coinhive会抽取30%的收益,剩余70%的收益则由网站站点收取。 ? 5....讽刺的是,Coinhive特别说明不要在不提示用户的情况下使用该服务,因为用户的利益比任何公司短期利益都要重要的多;然而实际情况是该服务已经被各个站点滥用。 ? 6....同时,通过分析发现,Coinhive提供的接口能够控制CPU使用率,使得CPU使用率不会一直过高,这样机器挖矿的同时不会变得明显卡慢,使挖矿行为更加隐蔽而难以被发现。 ?
后文我将围绕“CoinHive的介绍”,“开放式WiFi网络的特性”,“检测工具的实现”三点来进行叙述,文章的末尾将公布完整的实现代码方便大家参考。...CoinHive 星巴克挖矿事件中所使用的便是CoinHive挖矿程序。Coinhive是一个提供门罗币挖掘JS脚本的网站平台,攻击者会将其提供的脚本植入到自己或入侵的网站上。...在CoinHive官网注册登陆后,在其文档中发现了多种部署方式的介绍,包括JS代码形式、人机验证形式、Wordpress插件形式等等,种类非常丰富。...根据提示,如果不想有提示用户的弹窗可以将代码中的 authedmine.min.js 替换为 coinhive.min.js。...我们直接尝试过滤包含CoinHive特征代码的数据包“data-text-lines contains CoinHive.Anonymous”,结果如下。
JS挖矿脚本种类繁多,目前主流的植入到网页中的挖矿脚本有Coinhive,JSEcoin等,由于Coinhive在使用上的便捷性,成为黑产团伙的首选。...挖矿者只需在网页中调用Coinhive官网中的js文件coinhive.min.js并指定一个唯一的标识符即可。...而嵌入的Coinhive Java Miner则仅支持门罗币的挖矿。...Coinhive挖矿服务于2017年9月14日推出,声称站长再也不需要在网站中加入广告来赚取收益只需要在页面中嵌入Coinhive挖矿代码让用户的电脑为其挖矿即可,Coinhive平台从中收取30%的服务费...3、查看该网页源码,即可找到内嵌的JS挖矿脚本https://coin-hive.com/lib/coinhive.min.js 黑客入侵网站获取漏洞和权限并进行篡改是常见的网络安全问题
在此会用到VirtualBox和安装在其中的Kali Linux,我们会安装3个虚拟机Kali系统,分别扮演以下角色: 受害者:接入了WIFI路由器并浏览了某些恶意页面 测试者:运行CoffeeMiner..., PORT) httpd.serve_forever() 上面的代码就是一个托管挖矿服务的简单HTTP服务器,其中托管脚本会被放置在/miner_script目录下,为了实现真正的挖矿,我在此使用了CoinHive...CoinHive挖矿工具 Coinhive其实是一个门罗币挖矿工具,它可以嵌入被测试者控制的肉鸡网站上,每当用户访问该网站时,用户CPU资源就会被占用,用来计算CryptoNote协议相关的加密货币哈希值...Coinhive挖矿工具的执行,要在受害者打开页面40秒后才能开始,所以,如果受害者浏览页面时间不足40秒,Coinhive的挖矿任务失效。...CoffeeMiner脚本会执行ARP欺骗,并能用mitmproxy将CoinHive 挖矿程序注入受害者请求的html页面中。
据不完全统计,Alexa前100W域名中,共包含大约1700个挖矿域名,涉及到28种以Coinhive为首的恶意挖矿脚本,主要的挖掘目标是CryptoNote类加密货币,比如Monero(门罗币)、Dashcoin...这部分代码用来检查访问者的主机环境,寻找可用的CPU核数,并计算有多少算力可占用; 2 步骤2:接收到响应后,从网站或外部服务器下载高度优化的恶意挖矿脚本(如coinhive.min.js),同时也包括所分配的计算任务...图2 调用coinhive挖矿脚本的script标签 如图2所示,这是调用coinhive挖矿脚本的script标签内容,其中包含了挖矿原始JS脚本文件名称:coinhive.min.js,挖矿受益者的...那么通过查找特定字符串“Coinhive.Anonymous”或“coinhive.min.js”,就可以简单判断出该网站是挖矿网站。表1展示了部分较活跃的挖矿脚本以及它们所对应的关键字符串信息。...表1 部分挖矿脚本对应的关键字符串 挖矿脚本 关键字符串 Coinhive new CoinHive\.Anonymous | coinhive.com/lib/coinhive.min.js CryptoNoter
最常见的挖矿网站家族有Coinhive,Jsecoin等。值得一提的是,Coinhive团队已经在今年3月份宣布关闭其加密货币挖矿服务[3],他们声称Coinhive已经不再是个具备经济效益的服务。...但是据笔者最新的检测结果发现,Alexa排名前100W的域名中依然存在上千个Coinhive挖矿域名。 4感染方式 恶意挖矿程序感染手段花样繁多,主要有以下五种方式: ①常见病毒木马程序的传播方式。...持久性是指攻击者植入恶意挖矿程序后,通常会使用任务计划(Windows)或者Crontab(Linux)设置周期性执行任务,而且会删除计划任务关闭系统自动更新,确保挖矿程序的长期运行。 ②独占性。...http://blog.nsfocus.net/wp-content/uploads/2019/12/2019-DDoS.pdf [2].门罗币官网,https://minexmr.com/ [3].Coinhive...关闭运营,https://cointelegraph.com/news/crypto-mining-service-coinhive-to-shut-down-operations-in-march [
而最受黑客青睐的后台挖矿脚本,就是今年 9 月份冒头的 Coinhive 。 虽然许多安全企业 迅速将它压了下去 ,但 Coinhive 的官网并未消失,而是换了个“选择加入”的门头。...今年 9 月 的时候,外媒报道了两家后台被植入 Coinhive 的直播间,甚至还有以“ Chrome 浏览器扩展 ”的形式出现。此外 盗版网站 为了有目的性地增加收入,也会短暂地安装挖矿程序。
The Coinhive Debacle 黑客在monero的挖矿算法中发现机会的最著名例子之一来自Coinhive的加密劫持脚本。...目前没有证据能够证明Coinhive设计了供黑客用作恶意软件的加密采矿脚本。...我敢说,在所有运行Coinhive脚本的账户或活动中,有95%到98%都是犯罪分子,他们黑进并闯入了不属于他们的网页,并托管了该脚本,然后Coinhive从中获得30%利润。”...自从Coinhive被关闭以来,出现了很多模仿者,比如Cryptoloot和Coinlmp,大多也部署挖掘monero的脚本。...Coinhive被关闭: https://www.webroot.com/blog/2019/03/15/post-coinhive-whats-next-for-cryptojacking/ 虽然加密挖矿攻击可能正在减少
本期精读的文章是: coinhive官方文档及Monero官方文档 懒得看文章? 没关系. 咦, 怎么是官方文档?...原来上面的代码里用的还是我的API key, 所以还没挖到你自己那里 :P 继续下面的步骤 在coinhive注册账号并登陆. 它是做什么的? 别急, 后面会详细讲....这是意料之外而情理之中. 2.2 在浏览器里发生了什么, 或, coinhive干了什么 好, 我们搞清了一些基本的Monero挖矿机制, 下面来看看coinhive....已经知道coinhive帮我们接入它的矿池, 让再小的算力也能按比例得到产出. 但是还有什么呢?...本项目没有开源, 构建完成后的在https://coinhive.com/lib/coinhive.min.js.
攻击者成功地对 MicroTik 路由器实施了“零日攻击”,为其注入了 CoinHive 的修改版本。CoinHive 的一小段代码,支持利用简易的浏览器来挖掘门罗币。 ?
0x03js挖矿 coinhive(https://coin-hive.com/)该网站专门提供一个用来挖矿的 js 引擎,可以用来挖门罗币( XMR)。...主要代码如下: var miner...= new CoinHive.User('', 'john-doe’); miner.start(); 代码中的key值,可以通过在网站注册
网页挖矿病毒新变化 全球将近5万家网站被攻击者植入挖矿脚本,其中很大一部分是Coinhive 脚本。...Coinhive专门提供一个用来挖矿的JS引擎,当用户访问含有Coinhive代码的网页时,Coinhive的JS代码库就会在用户的浏览器上运行,挖矿程序就会开始工作,挖掘门罗币,消耗用户计算机的CPU...使用Coinhive默认的方式挖矿,已经很容易被发现。...2018年上半年,网页挖矿病毒又出现新变化,出现了两种新的攻击方式,一种是做一个中转再访问Coinhive挖矿脚本的链接,另一种是自建平台不使用Coinhive,这种方式更加隐蔽,并且避免了Coinhive
通过观察发现,越来越多的攻击者开始使用臭名昭著的Coinhive服务(允许网站使用目标用户硬件资源挖门罗币)来实施攻击了。与此同时,越来越多的服务器和 服务插件开始受到了挖矿型恶意软件的感染。...我们从网页代码中发现了部分直接从Coinhive文档中拷贝过来的函数,例如.hasWASMSupport(),它负责检查浏览器是否支持WebAssembly。...此类攻击将越来越常见 自Coinhive首次出现的两个月之后,基于浏览器的挖矿恶意软件仍然非常受攻击者的欢迎。
这段代码是Coinhive 内置在浏览器中的一个挖矿脚本,它可以利用用户的CPU资源来挖掘Monero加密货币。...自9月中旬Coinhive出现了相关服务以来,Bleeping Computer 已经发现很多这种类型的攻击事件。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
