Crypto Mining Malware(CoinHive Javascript)란 무엇입니까? 어떤 영향을 받았나요?
CoinHive는 JavaScript를 사용하여 웹사이트에 설치할 수 있는 암호화폐 채굴기(암호화폐 채굴 악성코드)를 제공하는 온라인 서비스입니다. JavaScript 광부는 웹사이트 방문자의 브라우저에서 실행되고 Monero 블록체인에서 코인을 채굴합니다. 웹사이트에 광고를 게재하는 대안으로 홍보됩니다. 그리고 해커들에 의해 악성코드로 사용되어 애초에 웹사이트를 감염시켜 웹사이트의 최종 고객을 가로채고 있는 것으로 밝혀졌습니다.
CoinHive를 사용하여 Monero 코인을 채굴하려면 웹사이트의 머리글/바닥글에 작은 JavaScript 스니펫을 배치하기만 하면 됩니다. 방문자가 사이트를 방문하면 CoinHive JavaScript가 활성화되고 사용 가능한 CPU 성능을 활용하기 시작합니다. 사이트에 10-20명의 활성 광부가 있는 경우 평균 월 수익은 약 0.3 XMR(~$109)입니다. 수익을 늘리기 위해 해커는 암호화 채굴 악성코드(CoinHive)를 주입하여 취약한 웹사이트를 악용하고 있습니다.
CoinHive 자체는 아닙니다. 악성 서비스로 인해 해커가 해킹된 웹 사이트를 사용하여 코인을 채굴하는 데 광범위하게 사용되었습니다. 그 결과 많은 맬웨어 스캐너와 보안 기관이 도메인을 블랙리스트에 올렸습니다.
암호화 마이닝 코드를 호스팅하는 플래그가 지정된 도메인
맬웨어에서 사용하는 CoinHive 코드로 호스팅하는 것으로 확인된 타사 도메인 목록을 작성했습니다. JavaScript 스크립트의 이름은 의도적으로 일반적인 파일 이름을 따서 명명되어 합법적인 것처럼 보이고 웹마스터가 이를 보고 의심하지 않습니다.
- ads.locationforexpert[.]com
- camillesanz[.]com/lib/status.js
- security.fblaster[.]com
- fricangrey[.]top/redirect_base/redirect.js
- almoney[.]xyz/js/stat.js
- 아프리카 소녀[.]top/redirect_base/redirect.js
- 리빈스키[.]us/redirect_base/redirect.js
- alinvest[.]xyz/js/theme.js
- babybabybabyoooh[.]net/beta.js
- www.threadpaints[.]com/js/status.js
- oneyoungcome[.]com/jqueryui.js
- wp-cloud[.]ru
- doubleclick1[.]xyz
- doubleclick2[.]xyz
- doubleclick3[.]xyz
- doubleclick4[.]xyz
- doubleclick5[.]xyz
- doubleclick6[.]xyz
- api[.]l33tsite[.]정보
- ws[.]l33tsite[.]정보
암호화폐 채굴 악성코드(CoinHive) 찾기
귀하의 웹사이트가 귀하도 모르는 사이에 크립토마이닝 스크립트를 실행하고 있음을 감지하면 귀하의 웹사이트가 해킹되었거나 감염되었을 가능성이 높습니다. 웹사이트가 해킹되었는지 확인하기 위해 취할 수 있는 몇 가지 단계는 다음과 같습니다.
- 웹 브라우저에서 웹사이트를 열고 "소스 보기" 옵션을 선택합니다.
- 웹페이지 소스에서 비정상적으로 보이는 JavaScript 코드를 스캔합니다.
- 위에 나열된 도메인으로 신고됨
- 인식할 수 없는 도메인/파일 이름
- CoinHive용 초기화 스크립트
- 다음 SSH 명령을 사용하여 서버에서 최근 수정된 파일 검사
find /path-of-www -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r
- 다음 SSH 명령을 사용하여 일반적인 맬웨어 문자열을 검색합니다.
find /var/www -name "*.php" -exec grep -l "eval(" {} \;
굵게 표시된 문자열을 아래 나열된 문자열로 바꾸고 명령을 다시 실행합니다.- echo(gzinflate(base64_decode )
- coinhive(암호재킹 코드 악성코드)
- 전문가를 위한 위치
- base64_decode
- gzinflate(base64_decode
- 평가(base64_decode
- 이 검색에 의해 플래그가 지정된 파일 열기
Crypto Mining Coinhive Malware WordPress 수정
핵심 WordPress 파일이 맬웨어 코드를 배치하도록 수정되었음을 확인했습니다. 많은 경우 테마 파일도 하이재킹되어 JavaScript 암호화 마이닝 코드를 배치합니다. 멀웨어는 요청의 사용자 에이전트를 확인하고 방문자가 Google/Bing/Yahoo 등의 검색 엔진 봇이 아닌 경우에만 악성 JS 코드를 포함합니다.
관련 가이드 – WordPress 맬웨어 제거
수정 사항을 확인하고 비교해야 하는 일부 파일:
- index.php
- wp-admin/admin-header.php
- wp-includes/general-template.php
- wp-includes/default-filters.php
- wp-includes/manifest.php.
- 테마 폴더의 header.php에서 인식할 수 없는 코드 찾기
- functions.php
자주 해킹되는 워드프레스 파일 확인 및 해결 방법
Magento용 Crypto Mining Coinhive 악성코드 수정
Magento를 사용하는 경우 데이터베이스에서 암호화 마이닝 맬웨어를 찾으십시오. 'core_config_data 테이블' 열기 phpMyAdmin과 같은 도구를 사용하여 테이블에서 design/head/includes 값을 찾습니다. . 코드를 검사하고