与在阴暗或受损位置托管恶意代码的典型黑客不同，这些坏人挑选一般程序员会挑选的服务。在这种事情下，他们滥用了免费的GitHub.io服务，该服务允许用户直截了当从GitHub存储库公布网页。这是一具相当新的趋势，提醒我们黑客是怎么滥用Pastebin等服务来托管恶意代码的。GitHub不允许匿名存储库，所以用户需要注册一具帐户才干公布其内容。

最后来修改的页面标题为：

此躲藏的iframe托管在GitHub.io上，这意味着页面拥有自个儿的GitHub存储库，Wpupdates实际上是GitHub帐户的名称。确实https://github.com/wpupdates 包含两个存储库：ping（创建于11月18日）和stack（创建于11月27日）。

有味的是，我们还发觉了一些用于"躲藏"挖掘用户界面的HTML/JS代码。UI将不可见，因为页面正在不可见的iframe中加载。这就回避了一具咨询题——假如你看不见，谁需要UI，假如它基本在一具看不见的iframe中，为啥还要躲藏它呢？

的index.html和假的存储库描述（WooCommerce Multilingual–使用WPML运行WooCommerce）中，下一次提交将略微修改的html代码版本从coinhive monero存储库复制到index.html中。接着，他们绕过伪造的WooCommerce多语言描述，最后来将其彻底从文件中删除。

假如界面可见，CC防御，页面的外观如下：

躲藏iframe中的wpupdates URL包含同一具web的副本应用攻击者固然做了一些修改，包括：

有很多公共存储库用于加密货币矿工（包括最初的CoinHive库）吸引具有良好开辟技能的坏人。他们懂怎么使用诸如Git和GitHub之类的工具，以及怎么依照自个儿的需要修改第三方代码。

然而，DDoS高防，假如这种想法变得流行，我们将看到更多的一次性GitHub帐户和被劫持的合法帐户被用于托管恶意软件。顺便讲一句，那个躲藏的GitHub.io iframe和CoinHive miner并不是我们看到黑客在攻击中使用GitHub的唯一案例。请然后关注本文的第2部分，其中我们将介绍另一具使用GitHub和一些流行的免费应用程序托管服务的大规模感染。

他们还将CoinHive用户名从GIT-WP更改为MoneroU，并使UI不可见。

正如您大概猜到的，DDoS防御，ping是hxxps://wpupdates.github[.]io/ping/躲藏iframe。"stack"存储库几乎彻底相同（在另一具CoinHive用户名下），DDoS防御，它在github.io上的URL是hxxps://wpupdates.github[.]io/stack/

更改默认站点密钥添加标题"wordpress ping srvice"经过将style="opacity:0；"添加到iframe来删除界面的可见性。

所以，前两次提交是经典的"hello world"在README.md.

最近，一位网站治理员联系我们，他的AVG antivirus报告讲在他们的网站上发觉了JS:Miner-C[Trj]感染。

GitHub用于恶意软件托管

谷歌快速搜索发觉了一具三个月前的GitHub存储库，它有一具简单的单页web应用程序，允许任何人输入他们的CoinHive站点密钥和用户名，开始为自个儿挖掘Monero。

检查HTML源代码后，我们使用CoinHive miner发觉了一段JavaScript，其中包含站点密钥Czzirexmoxye65hm4e9fycunqzh1g9和用户名MoneroU.

鉴于此恶意软件位于公共存储库中，我们能够查看其修订历史和作者所做的所有更改：

我们的调查显示，在主题的footer.php文件中插入了一具躲藏的iframe：

当我们在扫瞄器中打开URL时，页面是空白的。

躲藏的Cryptominer用户界面

假如您报告这些帐户，则能够禁用这些帐户：

Wpupdates GitHub Repositories

当前位置：主页 > 网站防护 > cc攻击谨防_菲律宾高防服务器_如何防