CoinHive គឺជាសេវាកម្មអនឡាញដែលផ្ដល់ឱ្យអ្នករុករករូបិយប័ណ្ណគ្រីបតូ (មេរោគ crypto mining malware) ដែលអាចត្រូវបានដំឡើងនៅលើគេហទំព័រដោយប្រើ JavaScript ។ JavaScript miner ដំណើរការនៅក្នុង browser នៃអ្នកចូលមើលគេហទំព័រ និង mines coins នៅលើ Monero blockchain ។ វាត្រូវបានផ្សព្វផ្សាយជាជម្រើសមួយក្នុងការដាក់ការផ្សាយពាណិជ្ជកម្មនៅលើគេហទំព័រ។ ហើយវាត្រូវបានគេប្រើដោយពួក Hacker ជាអតិថិជនចុងនៃគេហទំព័រដោយឆ្លងគេហទំព័រដំបូង។
ដើម្បីជីកយកកាក់ Monero ដោយប្រើ CoinHive អ្វីដែលអ្នកត្រូវធ្វើគឺដាក់អត្ថបទ JavaScript តូចមួយនៅក្នុងបឋមកថា/បាតកថានៃគេហទំព័ររបស់អ្នក។ នៅពេលអ្នកចូលមើលគេហទំព័រនោះ CoinHive JavaScript ត្រូវបានធ្វើឱ្យសកម្ម ហើយចាប់ផ្តើមប្រើប្រាស់ថាមពលស៊ីភីយូដែលមានសម្រាប់វា។ ជាមួយនឹងអ្នករុករករ៉ែសកម្ម 10-20 នៅលើគេហទំព័រ ប្រាក់ចំណូលប្រចាំខែជាមធ្យមគឺប្រហែល 0.3 XMR (~$109)។ ដើម្បីបង្កើនប្រាក់ចំណូលរបស់ពួកគេ ពួក Hacker បាននិងកំពុងកេងប្រវ័ញ្ចគេហទំព័រដែលងាយរងគ្រោះដោយការចាក់មេរោគ crypto mining malware (CoinHive)
ខណៈពេលដែល CoinHive ខ្លួនវាផ្ទាល់ ទេ។សេវាព្យាបាទ វាត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយដោយពួក Hacker ដើម្បីជីកយករ៉ែដោយប្រើប្រាស់ . ជាលទ្ធផល ម៉ាស៊ីនស្កេនមេរោគ និងភ្នាក់ងារសន្តិសុខជាច្រើនបានចុះក្នុងបញ្ជីខ្មៅនៃដែន។
ដែនដែលមានទង់ដែលបង្ហោះកូដរុករករ៉ែ Crypto
យើងបានចងក្រងបញ្ជីនៃដែនភាគីទី 3 ដែលត្រូវបានគេមើលឃើញថាធ្វើជាម្ចាស់ផ្ទះជាកូដ CoinHive ដោយប្រើមេរោគ។ ឈ្មោះរបស់ស្គ្រីប JavaScript ត្រូវបានដាក់ឈ្មោះដោយចេតនាតាមឈ្មោះឯកសារទូទៅ ដូច្នេះពួកវាហាក់ដូចជាស្របច្បាប់ ហើយអ្នកគ្រប់គ្រងគេហទំព័រមិនមានការសង្ស័យនៅពេលឃើញពួកវាទេ។
- ads.locationforexpert[.]com
- camillesanz[.]com/lib/status.js
- security.fblaster[.]com
- fricangrey[.]top/redirect_base/redirect.js
- alemoney[.]xyz/js/stat.js
- africangirl[.]top/redirect_base/redirect.js
- ribinski[.]us/redirect_base/redirect.js
- aleinvest[.]xyz/js/theme.js
- babybabybabyoooh[.]net/beta.js
- www.threadpaints[.]com/js/status.js
- oneyoungcome[.]com/jqueryui.js
- wp-cloud[.]ru
- ចុចពីរដង 1[.]xyz
- ចុចពីរដង 2[.]xyz
- ចុចពីរដង 3[.]xyz
- ចុចពីរដង 4[.]xyz
- ចុចពីរដង 5[.]xyz
- ចុចពីរដង 6[.]xyz
- api[.]l33tsite[.]info
- ws[.]l33tsite[.]info
ស្វែងរកមេរោគ crypto mining malware (CoinHive)
ប្រសិនបើអ្នករកឃើញថាគេហទំព័ររបស់អ្នកបានដំណើរការស្គ្រីប crypto-mining ដោយគ្មានចំណេះដឹងរបស់អ្នក វាទំនងជាថាគេហទំព័ររបស់អ្នកត្រូវបានលួចចូល ឬត្រូវបានឆ្លងមេរោគ។ នេះគឺជាជំហានមួយចំនួនដែលអ្នកអាចធ្វើដើម្បីកំណត់ថាតើគេហទំព័ររបស់អ្នកត្រូវបាន hacked៖
ជួសជុល Crypto Mining Coinhive Malware WordPress
យើងឃើញថាឯកសារ WordPress ស្នូលត្រូវបានកែប្រែដើម្បីដាក់កូដមេរោគ។ ក្នុងករណីជាច្រើន ឯកសារស្បែកក៏ត្រូវបានគេលួចដើម្បីដាក់កូដ JavaScript crypto mining ។ មេរោគនេះពិនិត្យភ្នាក់ងារអ្នកប្រើប្រាស់នៃសំណើ ហើយរួមបញ្ចូលតែកូដ JS ព្យាបាទ ប្រសិនបើអ្នកទស្សនាវាមិនមែនជាម៉ាស៊ីនស្វែងរក bot ពី Google/Bing/Yahoo ជាដើម។
កូដព្យាបាទដែលឆ្លងឯកសារ headers.php នៅក្នុងស្បែក WordPress
ឯកសារមួយចំនួនដែលអ្នកគួរពិនិត្យ និងប្រៀបធៀបសម្រាប់ការកែប្រែ៖
- index.php
- wp-admin/admin-header.php
- wp-includes/general-template.php
- wp-includes/default-filters.php
- wp-includes/manifest.php ។
- រកមើលកូដដែលមិនស្គាល់នៅក្នុង header.php នៅក្នុងថតប្រធានបទរបស់អ្នក។
- functions.php
ជួសជុលមេរោគ Crypto Mining Coinhive Malware សម្រាប់ Magento
ប្រសិនបើអ្នកកំពុងប្រើ Magento រកមើលមេរោគ crypto mining malware នៅក្នុងមូលដ្ឋានទិន្នន័យ។ បើក 'តារាង core_config_data'តារាងដោយប្រើឧបករណ៍ដូចជា phpMyAdmin ហើយរកមើលតម្លៃនៃ ការរចនា / ក្បាល / រួមបញ្ចូល. ពិនិត្យកូដ និងលុបឯកសារ JavaScript ណាមួយដែលត្រូវបានដាក់បញ្ចូលនៅទីនោះដោយប្រើ