אם אתה מקצוען IT וגילית שסקריפט הכרייה של Coinhive הדביק את האתר שלך, יש כמה דברים שאתה יכול לעשות כדי לנקות אותו. ראשית, תרצה להפעיל סריקת תוכנות זדוניות באתר שלך כדי לוודא שאין סקריפטים זדוניים אחרים הפועלים. לאחר שאישרת שסקריפט Coinhive הוא הדבר היחיד באתר שלך, תוכל להסיר אותו על ידי מחיקת הסקריפט מהשרת שלך. אם אינך בטוח כיצד לעשות זאת, תוכל לפנות לספק האירוח שלך לקבלת סיוע. לאחר הסרת הסקריפט של Coinhive מהאתר שלך, תרצה לשנות את כל הסיסמאות שלך. זה כולל את סיסמת חשבון האירוח שלך, סיסמת CMS שלך וכל סיסמה אחרת שבה אתה משתמש כדי לגשת לאתר שלך. כמו כן, מומלץ לשנות את הסיסמאות שלך בכל אתר אחר שבו אתה משתמש באותה סיסמה. בדרך זו, אם הסיסמה שלך נפגעת, תוקפים לא יוכלו להשתמש בה כדי לגשת לאתרים אחרים. לבסוף, תרצה לוודא שיש לך גיבוי של האתר שלך. בדרך זו, אם האתר שלך נפרץ שוב, תוכל לשחזר אותו מהגיבוי שלך. אם אין לך גיבוי, תוכל לפנות לספק האירוח שלך כדי לראות אם יש לו גיבוי של האתר שלך. על ידי ביצוע השלבים הבאים, תוכל לנקות את האתר שלך ולוודא שהוא מאובטח.
קראתי על בעלי אתרים המשתמשים בסקריפטים באתרים שלהם המשתמשים במעבד המחשב של המבקר כשהם מבקרים באתר שלהם. הרעיון הוא לייצר רווחים מהתוכן שלהם - וכך במקום מודעות, הם משתמשים בסקריפט שרץ בדפדפן ומשתמש במשאבים של המחשב של המשתמש כדי לכרות מטבעות קריפטוגרפיים. אבל פעם חשבתי שרק בעלי אתרים עושים את זה בעיצוב - לא תיארתי לעצמי שהאקרים יכולים לפרוץ לאתרים ולהפיץ את הסקריפט לאתרים אחרים ולהשתמש במעבד המבקרים כדי להרוויח כסף עבור עצמם. אבל הנה מה שנראה שקורה עכשיו!
Coinhive Crypto Mining Script
אתמול כשהייתי אצלנו פורום TWC שפועל על תוכנת vBulletin, תוכנת האבטחה שלי נתנה לי את האזהרה הבאה:
https://coinhive dot com /lib/coinhive.js נמצא קובץ אובייקט, ההורדה חסומה
אני בדרך כלל הולך לפורום כל יום, אבל לא ראיתי את זה יום קודם. אז אני מניח שזה קרה בלילה, בזמן שישנתי.
אני משתמש בתוכנת הפורום vBulletin והיא עודכנה לגרסה האחרונה. יתר על כן, זה היה די בלתי צפוי עבורנו, מכיוון שהדומיין TheWindowsClub.com משתמש מיצי אינטרנט של אנטי וירוס וחומת אש כדי להגן על עצמך מפני איומים והתקפות מקוונות.
תוכנית האבטחה של המחשב שלי עצרה בהצלחה סקריפט זדוני מלהפעיל במחשב Windows 10 שלי. בדקתי עם דפדפנים אחרים כמו Chrome ו-Edge והתוצאות היו זהות.
חלונות 10 לא מזהים כונן
לאחר לחיצה ימנית על דף האינטרנט של הפורום ובדקתי את קוד המקור, מצאתי שזה סקריפט זדוני CryptoMiner עבור CoinHive.
זהו קוד ה-Javascript של Coinhive הזדוני שנכנס לקוד הפורום שלי:
|_+_|בכל מקרה, הדבר הראשון שעשיתי היה להשבית את הפורום ולהודיע לסוקורי.
החבר'ה מסוקורי פינו את הפורום מהתסריט של Coinhive שהונח בפורום שלי תוך כמה שעות, וזה הכל זה היה נחמד.
מה זה CoinHive
Coinhive מציעה כורה JavaScript של Monero שתוכל להטמיע באתר האינטרנט שלך ולהשתמש במעבד של מחשבי המבקרים באתר כדי לכרות עבורך מטבעות.
זה נקרא קריפטו-jacking . זה כרוך בחטיפת דפדפנים של משתמשים כדי לכרות מטבעות קריפטוגרפיים. חלק מבעלי אתרים עשויים להשתמש בו כדי להרוויח כסף בעצמם, אבל במקרה שלנו זה הוצג.
כאשר משתמש מבקר באתר נגוע, Coinhive JavaScript משיקה וכורה את Monero באמצעות משאבי ה-CPU של המשתמש. זה יכול להוביל למצערת מעבד ולקריסת מערכת בלתי צפויה במכשיר של הקורבן.
כעת, אם הדפדפן שלך נגוע, תראה את השימוש במשאבים שלך עולה. סגור את הדפדפן והוא יקרוס. המשתמש עשוי להבחין שהמכונה שלו מתחממת, המאוורר פועל במהירות או שהסוללה מתרוקנת במהירות.
שאלתי את הקולגה שלי סאורבה מוחקר בקר בפורום שלי באמצעותו מק ולראות מה קרה. ובכן, גם ה-Mac שלו סבל כשהוא פתח את הפורום עם Safari! הוא אחד מאותם משתמשי Mac OSX חכמים שמשתמשים בתוכנת אנטי וירוס עבור ה-Mac שלהם. האנטי וירוס של Avast עבור Mac עצר בהצלחה את הפעלת הסקריפט הזדוני.
סאוראב אמר,
התוכנה הזדונית CoinHive חוטפת לא רק מחשבי Windows, אלא גם מחשבי Mac, מכיוון שמדובר בהדבקה ב-Javascript דרך הדפדפן. טוב שאני לא מאמין במיתוס שמק לא צריך תוכנת אנטי וירוס, אחרת המכונה שלי הייתה נגועה והמק שלי ימשיך להנפיק מטבעות למישהו אחר.
מנע מ-CoinHive להדביק את האתר שלך
- אל תשתמש בתבניות NULL או תוספים כלשהם באתר/בפורום שלך.
- עדכן את ה-CMS שלך לגרסה העדכנית ביותר.
- עדכן את תוכנת האחסון שלך (PHP, מסדי נתונים וכו') באופן קבוע.
- הגן על האתר שלך עם ספקי אבטחת אינטרנט כגון Sucuri, Cloudflare, Wordfence וכו'.
- קח בסיסי אמצעי זהירות כדי להגן על הבלוג שלך .
הסרת כורה CoinHive מהאתר
קודם כל, עליך להיות מנהל האתר של האתר הנגוע, או להיות בעל אישורי מנהל המעניקים לך גישה לכל קבצי האתר.
כעת, כשהאנטי-וירוס שלך זיהה את ההדבקה ב-CoinHive, לחץ לחיצה ימנית על דף האינטרנט ובחר הצג את קוד המקור . הקש הבא Ctrl + F וחפש את 'CoinHive'.
לאחר שאיתרתם את הקוד הזדוני, עליכם לראות את מיקומו - היכן הוא נמצא. עכשיו אתה צריך להסיר אותו באופן ידני. כדי לעשות זאת, אתה צריך לדעת קצת על הקידוד של הפלטפורמה שלך. תצטרך למצוא את הקבצים הנגועים ולהסיר ממנו באופן ידני את הסקריפט שלמעלה. אם אינך בטוח לגבי זה, בקש מרופא מומחה לעשות זאת. מכיוון שאנו משתמשים בסוקורי, אנו מאפשרים להם לעשות זאת.
לאחר מכן, נקה את המטמון של השרת והדפדפן. אם אתה משתמש בכל תוסף מטמון או נניח ב-MaxCDN, נקה גם מטמונים אלה.
הגן על עצמך מפני סקריפטים לכריית מטבעות קריפטוגרפיים
מטבעות קריפטו ו טכנולוגיית בלוקצ'יין משתלט על העולם. יש לכך השפעה על הכלכלה העולמית ועל הסיבות כשלים טכנולוגיים גַם. כולם התחילו להתמקד בשוק כל כך רווחי - כולל האקרים של אתרים. ככל שהרווחים יגדלו, יש לצפות שטכנולוגיות כאלה ינוצלו לרעה. זהו הצד האפל של כל טכנולוגיה מתהווה.
מה שאנחנו יכולים לעשות זה תמיד לנקוט באמצעי הזהירות הטובים ביותר. בנוסף לשימוש טוב תוכנת אבטחה, השתמש בתוסף כרום או פיירפוקס חוסם אתרים מלהשתמש במעבד שלך לכריית מטבעות קריפטוגרפיים - או יותר טוב להשתמש Anti-WebMiner זה ייפסק קריפטו-jacking כריית התקפות Script על ידי שינוי שלך מארחי קבצים . עובד בכל הדפדפנים. אם אתה משתמש מק, קבל גם תוכנת אנטי וירוס למחשב שלך.
כאמצעי זהירות, אם אי פעם תרגיש שייתכן שביקרת באתר נגוע, יהיה זה רעיון טוב לנקות את מטמון הדפדפן שלך ולסרוק את המחשב שלך עם תוכנת אנטי וירוס בנוסף ל AdwCleaner .
הורד את כלי תיקון המחשב כדי למצוא במהירות ולתקן באופן אוטומטי שגיאות של Windowsהיו בטוחים, היו ערניים!
