ddos谨防_服务器防火墙关闭后又自动开启_如何办-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > DDOS防御 > ddos谨防_服务器防火墙关闭后又自动开启_如何办

ddos谨防_服务器防火墙关闭后又自动开启_如何办

小墨安全管家 2022-06-22 23:00 DDOS防御 89 ℃
DDoS防御

这解释了黑客为啥挑选流行服务Heroku和Now.sh托管他们的DeepMiner应用程序。

矿工只会有条件地显示,所以机器人被排除在外,惟独人类访客才会收到它。这有助于幸免网络垃圾邮件当局的检测——机器人无法挖掘硬币,所以对黑客毫无用处。

在这种事情下,恶意软件随机注入能够在同一GitHub存储库中以加密形式找到的cryptominer足本的多种变体之一,在另一具文件下:

还记得本文中的第一具屏幕截图吗?它显示了四行含糊的代码,每行代码都注入一具cryptominer。

自然,当你能够在GitHub上找到所有东西,同时你对编程并不陌生时,大概会有一种诱惑,那算是开始构建自个儿的硬币挖掘平台,幸免向CoinHive等服务支付佣金。此外,当您自个儿构建所有内容时,您能够依照自个儿的喜好调整所有内容,并使其与您的攻击场景完美配合。

来自GitHub的Miner注入

到12月27日,他们向该存储库提交了36次请求,并逐渐向注入池中添加了更多的Heroku和Now.sh应用程序。有味的是,第一具版本仍然有DeepMiner变量,后来改为jQuery。

在这一系列对于恶意加密矿工使用GitHub的文章中,我们看到了这方面的第一步。黑客将其视为一般的概念证明,并使用大多数web开辟人员都会使用的免费工具和平台:GitHub、Heroku和Now.sh。假如这被证明是有利可图的,这么像如此的矿工大概会被定制为在黑暗的网络中工作(经过自动含糊、域更改、利润共享),并最后来被包括在利用工具包中。

第一波加密劫持攻击显示,各种不良行为者对此主题的兴趣越来越高。起初,CC防御,他们不过简单地将带有自个儿站点密钥的CoinHive足本注入到受损网站中。接着,他们开始在第三方网站上举行混淆和托管CoinHive足本。然而CoinHive并不是唯一一种将钞票币挖掘者添加到网站的想法。底层技术是开源的,其他人开始构建自个儿的应用程序,甚至挖掘平台。

假如您返回恶意使用的GitHub URL,xmrstudio是GitHub上的免费公共帐户。这意味着我们能够访咨询该用户的所有文件和活动历史记录。

在那个列表的底部,我们看到了基本熟悉的带有站点密钥的CoinHive足本:gFxV1c98qzr1IFChFglOSfb0iDRo1508、Llsav0GRKLbDgƒthroqHpkgWdpJzzehyp和ZN92xKXiHjHjHfHf2Pjbo25Mzorrnwwc。

我们还看到代码从GitHub网址中提取内容:

恶意软件注入程序不大概检查站点是否基本有该恶意软件的早期版本,这特别大概是由于代码中的缺陷造成的。每一波新的感染都会增加一具新的隐矿工,而不大概移除往常的隐矿工。这不是一具大咨询题,因为默认事情下CoinHive只启动一具miner(即使其他miner有不同的站点密钥)。

从GitHub提交历史记录

这是截至12月21日的解码内容:

为啥使用自托管服务器应用程序而不是CoinHive miner或其他流行的替代程序?最后来,这对攻击者来讲更灵便。这也有助于他们经过使用自个儿的域(需要时随时更改)为客户端足本和websocket代理来幸免黑名单。

它原来是一具DeepMiner web应用程序(受CoinHive启示),也能够在GitHub上找到。此应用程序由Node.js服务器部分和JavaScript客户端部分组成。

throttle参数表明它仍然是一具cryptominer,但如今源代码声称是jQuery–同时URL不属于CoinHive。

然而当页面有CoinHive miner和Heroku/Now.sh版本的DeepMiner时,这两个版本都将在访客计算机上并且运行,竞争CPU周期,因为它们是相互不了解的独立应用程序。此攻击使用0.3和0.2(分别占CPU的70%和80%)的限制值,所以这两个相互竞争的足本将CPU使用率提高到100%。

最近,我们写了对于GitHub/GitHub.io怎么被用于将加密货币矿工注入受损网站的攻击。大约在同一时刻,DDoS防御,我们注意到另一具攻击也使用GitHub提供恶意代码。

例如,这使我们可以访咨询config.json文件,该文件具有有味的应用程序配置详细信息,如挖掘池和Monero地址。

这是另一具CoinHive注入,但有些复杂。

攻击者能够经过这种方式挑选任何Monero挖掘池–在这种事情下,攻击者正在使用pool.minexmr.com:3333–他们能够幸免向CoinHive支付佣金。可是,这种灵便性是有代价的。

注入的第一行是最复杂的版本:

固然,它不是合法的jquery。快速查看代码会发觉如此的行:

CoinHive注入

结论

解码时,最终两行注入典型的CoinHive加密货币矿工:

第二种想法(PaaS提供商)克服了所有这些缺点:

我们看到mrc存储库创建于2017年11月25日。在此之前,攻击使用了相同的含糊处理,但只注入了与GitHub和非CoinHive矿工不起作用的代码行。

然而,DDoS防御,这些平台上的免费打算有一些限制。例如,在Heroku上,未经验证的帐户每月惟独550小时的空暇时刻。作为一种解决想法,攻击者大概注册了多个免费帐户,并在每个帐户上创建了应用程序的克隆。在他们注入黑客网站的代码中,他们必须随机替换应用程序的URL,以确保不大概超出免费配额。

假jQuery导致新矿工

在这一点上,特别明显,防DDoS,随着我们进入2018年,加密劫持是网站黑客最迅速进展的领域之一。

Heroku和Now.sh

第一种想法(自有服务器)对攻击者有特别多不利之处:

实时应用程序的源代码

jqcdn01.herokuapp[.]com/jQuery.jsjqcn2.herokuapp[.]com/jquery.jsjqcdn03.herokuapp[.]com/jquery.jsmxcdn1.now[.]sh/jquery.jsnpcdn1.now[.]sh/jquery.jssxcdn1.herokuapp[.]com/jquery.jssxcdn02.now[.]sh/jquery.jssxcdn4.now[.]sh/jquery.jssxcdn5.herokuapp[.]com/jquery.jssxcdn6.now[.]sh/jquery.jswpcdn1.herokuapp[.]com/jquery.jsmxcdn2.now[.]sh/jquery.js

通常有包括免费三级域名的免费(有限)打算。攻击者只需上传他们的cryptominer应用程序,它就会即将开始工作。无需维护。因为它是一具云应用程序,于是不会将IP地址列入黑名单——像"herokuapp.com"如此的域名被数千个合法应用程序使用。PaaS提供商能够在收到投诉时屏蔽侵权账户,但攻击者能够然后创建一次性账户。

恶意软件使用网站密钥:gFxV1c98qzr1IFChFglOSfb0iDRo1508和92o2umhabroieqemi8iny2cdnrs5gs。

顺便讲一句,对受感染网站的数量举行了恐怕

在这种事情下,GitHub内容不过一对加密的CoinHive站点密钥,恶意软件在注入miner时会交替使用这些密钥。(Llsav0GRKLbDgqTsjHpkGQWdpJzZehyP和gFxV1c98qzr1IFChFglOSfb0iDRo1508)

假如像CoinHive如此的服务然后致力于防止滥用其平台,这大概是扫瞄器中合法和恶意矿工的分离点。时刻将证明这一预测是否正确。

这意味着我们能够特别容易地看到恶意miner应用程序的全部源代码:

它是一具Node.js应用程序,大多数共享托管打算不支持Node.js。唯一的挑选是获得一台私有服务器或使用支持Node.js的云平台即服务(PaaS)。

其余代码看起来不同。例如:

此代码挖掘Monero。可是,它不是大伙儿熟悉的CoinHive JavaScript库。

这种对非共箱URL的更通用搜索也会返回516个网站。所以,至少,这次攻击基本感染了500多个网站。

第二行注入,解码后,更有味的是:

注入器中的Bug

ddos谨防_服务器防火墙关闭后又自动开启_如何办

在活动WordPress主题的Header.php文件中发觉以下加密恶意软件:

总共有四行代码。每一行在解码时扮演不同的角色。

以下是一组能够在客户端足本中找到的设置:

Now.sh上的免费应用程序还有一具有味的缺点——它们的代码经过/_src路径向所有人开放。

GitHub的硬币密钥


DDoS防御

当前位置:主页 > DDOS防御 > ddos谨防_服务器防火墙关闭后又自动开启_如何办

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119