主页 > 北京pk10技巧 > 北京pk10技巧:话题讨论 关于网页植入
2014年05月21日

北京pk10技巧:话题讨论 关于网页植入

  北京pk10技巧前一段时间有关利用网页JS挖矿的新闻屡见不鲜,其手段为黑客入侵网站后将正常网站页面嵌入恶意挖矿脚本,用户通过浏览器访问这些站点时这些脚本会在后台执行并大量占用资源,电脑会变慢、卡顿,CPU 利用率甚至飙升至100%。最近上网浏览网页的时候发现电脑CPU有升高,但是也在 70%以下,以为是后台运行一些更新程序什么的,结果没想到抓包一看是挖矿脚本!

  “static/v5/js/cssloader.js?v=1”这个JS文件其实是一个挖矿脚本,来源于一个在线挖矿网站,类似于著名的coinhive,与之前暴力简单的嵌在正常网页中的挖矿JS相比,作者设置了setThrottle,线程应保持空闲的时间百分比,用来控制CPU资源占用率,使得用户不会轻易发现自己被人利用挖矿。可见作者不想像之前黑产那样不计后果暴力的去进行挖矿,而是想“细水长流”。

  此时我机子的CPU利用率为66%,与之前的接近于100%的利用率,更不容易被发现。

  由referer头可以看出是由这个域名跳转来的,目前推测有两种情况:该域名被黑,被嵌入跳转的JS脚本;或者该域名和上面跳转的域名为同一个作者,其作用仅仅是用作执行挖矿脚本的诱饵。

  随意点开一条新闻,发现立即跳转到sohu新闻的页面,而点击箭头指向内容,则会打开本站网页,网页源码中同样嵌入了标签来调用这个挖矿脚本。

  看到网站结构便一目了然,可调用挖矿脚本的网页内容放在a、V2、V5目录下,正常网页根据不同的类型重定向到sohu的指定页面。这样白加黑的手法更加使用户不易察觉,实际访问过程中,明显感觉到可调用挖矿脚本的网页内容更加比正常网页具有诱惑性,成功诱使用户点击的概率更高。

  为了找到跳转网站()与挖矿网站()的联系,随后查询了两个网站的whois、PDNS等信息。99e3.com域名解析IP为101.132.163.173,北京pk10技巧:关联该IP信息发现在2017年11月1日时同样可以解析到news.ysw365.com域名。这与挖矿网站的二级域名一致,可以得出结论:网站作者利用诱饵网站进行钓鱼,采用诱惑性内容诱导用户点击相关资讯,从而调用挖矿脚本为作者牟利。

  可以看出是位于福建南平的一位名叫zhangyan的人进行了域名注册,关联其邮箱地址,发现其他诱饵网站,均为“99热评”。

  以上是整个关联分析过程,除了之前爆过的黑产利用入侵网站到现在黑产自己做诱饵网站进行挖矿,手段虽然产生变化,但实质并未发生改变,都是消耗用户资源来为自己牟利。