或许你没想到,比特币价格最近重回3万,只用短短20天;
你更想不到,有一天你也可能沦为别人挖矿赚钱的矿工,且毫不知情。
网站只要嵌入几行挖矿代码,就能不断鞭笞每个浏览者,疯狂榨干他们的CPU资源。
浏览者打开一个网页,只觉得电脑变得有点卡,电脑风扇的嗡嗡作响,不知问题出在哪。另一头的幕后黑手已赚到盆满钵满。
黑客也盯上这个一劳永逸的来钱路子,他们在被黑的网站里挂上这种挖矿代码。
色情网站、视频网站、游戏网站、新闻网站,最后,甚至有的政府网站、关键基础设施也没能幸免……
1.电脑愈发滚烫,身体日渐消瘦
随着身体一阵抽搐,屏幕上的画面顿时索然无味,小王有些郁闷,电脑配置不差,上网却很卡慢,电脑风扇嗡嗡作响,CPU占用率极速飙升,连电影画面都一卡一顿,令人兴致大减。
他自然想不到,自己血脉膨胀之时,电脑已沦为他人的挖矿赚钱机器。
即使告诉他,他也不相信。因为他根本没下载什么东西,只是单纯地打开一个网站。如果这样就沦为矿工,那每天岂不是有成千上万人主动中招?
不好意思,事实真是这样。
小王 不知道,这些网站被嵌入了一段特殊的 Java 代码,它能像网站自动播放的视频一样,用户一点开网站就自动执行,占用浏览者电脑资源进行挖矿。
此时若打开任务管理器查看电脑CPU资源占用情况,会发现CPU已急剧飙升至100%。但小王们此时多半自己身体都已被掏空,哪功夫去管电脑死活。
展开全文
虚拟货币挖矿,本质上是用计算机来解开一道数学计算题。每当有人发起虚拟货币交易,谁先计算出一道特殊的数学题来证明自己的计算能力,谁就优先记账,并获得一定量的虚拟货币奖励。
挖矿代码就抓住了这一点。你来浏览我网站,反正你电脑闲着也是闲着,我就丢一个数学题给你,帮我计算一下吧,借用一下你电脑的计算能力。
网页里的挖矿代码 ▼
这就好比我在健身房里开了个小工厂,让每个来健身的人都来帮我干苦力活赚钱。—— 来,把这堆砖搬一下,你不反正都是来锻炼身体的么?
很贱是不是?网页挖矿的做法比之更加拙劣。它不需要事先作出任何通知,一切在用户不知情的情况下完成。进了我的网站,你就是我的矿工。
小王的遭遇并非个例,在腾讯电脑管家团队调查之下,数百个内嵌挖矿机的网站浮出水面。
从数据上来看,这类挖矿脚本主要集中在色情网站。
这类网站访问量大,通常有一定加载时间,不容易被用户发觉。哪怕发觉,多半用户也会被网站内容吸引,全然不顾自己的电脑,像是电影《倩女幽魂》里迷恋女鬼婀娜身姿而成为盘中餐的痴汉们。
▲《倩女幽魂》剧照
除了色站,小说、游戏网站也是挖矿脚本的常驻地,他们同样依靠“优质”内容吸引用户驻留,然后有趁其不备榨干其设备CPU资源。
▲数据来自腾讯电脑管家团队
利用闲置机器资源来挖矿,这种物尽其用的思想本也没错,但在利益的驱使下,网站肆意占用浏览者电脑资源,全然不顾浏览体验,强取豪夺,让它变了味。
2.哪里有钱赚,哪里就有生意
利益面前,有人敢在前面冲锋陷阵,有人在后方支援弹药。
美国淘金热时,成千上万的年轻人奔赴矿山赌命,少数聪明人偏偏通过卖锄头、牛仔裤给他们而发家致富。网页挖矿也是如此,有人想在自家网站嵌入挖矿代码,便有人做起了挖矿代码支持的生意。
在上文展示的挖矿代码中,你会注意到一个叫 coinhive 的网站,它便是这门生意的佼佼者。
只要您网站上有10~20个活跃矿工,您就能预计每月收入0.3个XMR(门罗币,一种虚拟货币),折合26美元。
只要您网站上有10~20个活跃矿工,您就能预计每月收入0.3个XMR(门罗币,一种虚拟货币),折合26美元。
Coinhive 网站说明里有这么一句话。为网站提供挖矿代码服务,是它的专长。
它采用了一种叫 Cryptonight 挖矿算法挖门罗币,这种算法复杂、占用资源高,常被植入普通用户机器,占用其 CPU 资源来挖矿。
有了Coinhive ,网站只要在网页里嵌入他们的代码,不需要自己布置矿机,就能立刻拥有鞭笞用户挖矿的能力。
当然,Coinhive 会抽取30%的收益作为服务费。
虽然看起来,CPU挖矿速度极慢,但人多力量大,一个浏览量上千万、上亿的网站,嵌入这样的代码,攫取的利益绝非少数。
知名盗版电影网站海盗湾就觉得这笔生意能做。它在网站挂上挖矿代码,并甩出个公告,表示要用挖矿收益来替代广告收益。
虽然这种做法令不少用户不满,但对于坐拥近两千万日均访问用户的海盗湾,这笔生意确实能带来比广告更直观的收益。
海盗湾的日均PV达到1.2亿 ▼
国内,一个叫“ 万方科技学院内网代理系统 ” 的网站也挂上挖矿脚本。虽然这个网站流量并不大,令人质疑挖矿盈利能力。但这并不重要,重要的是它说明了一个问题,网页挖矿对大小站长都具有一定吸引力。
据360安全卫士团队调查,自挖矿代码于9月15日出现后,但短短不到一周的时间,访问量就已经达到十万级且还在上涨:
▲数据来自360安全卫士团队
对于 Coinhive 来说,这实在是一笔一本万利的买卖。所有嵌入这段代码的网站源源不断为自己输送30%的挖矿利润,即使用户察觉,骂的也是嵌入挖矿代码的网站而非技术提供者。利润高还不用担责,还有比这更好的生意?
好生意谁都想做,旁人自然不会看着 Coinhive 这么舒舒服服地垄断赚钱,浅黑科技幺哥发现,国内已经有人开始倒腾出了类似网站。
网站外观和 coinhive 几乎一样,但网站描述似乎更接地气。
国内首家线上矿场开业啦!性感 Adblock/uOrigin 在线发牌,多种过滤方式任您挑选 ……
国内首家线上矿场开业啦!性感 Adblock/uOrigin 在线发牌,多种过滤方式任您挑选 ……
从上面这段网站站长的描述来看,与其说这是个山寨赚钱项目,更不如说是几个程序员凭着兴趣和好奇倒腾出来的一个玩票项目。
然而,不论是利益驱使或是技术兴趣使然,网页嵌入挖矿代码这件事如今已被越来越多的人熟知,在可预见的未来,越来越多的人会去尝试。
3.坏人入局,关键基础设施都沦陷
有关键基础设施被黑了,我们在某市客运车站网站,甚至政府部门网站里也发现了挖矿代码!
有关键基础设施被黑了,我们在某市客运车站网站,甚至政府部门网站里也发现了挖矿代码!
安全公司白帽汇合伙人刘宇透露,他们利用网络安全搜索引擎 FOFA 系统在全网范围检索,发现多家网站被嵌入挖矿代码,其中不乏关键基础设施。
所谓关键信息基础设施,是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,对国家安全具有重要意义。
在白帽汇刘宇发来的FOFA搜索引擎2017年10月10日检索数据中,某部门备案管理系统以及某市汽车客运站赫然在目。
这意味着,这些关键基础设施被植入了挖矿代码。如果这些代码不是网站管理员自己植入的话,就意味着这些网站都被黑了。
刘宇说,
黑产黑掉一个网站或服务器,通常不仅盗走数据,还会想尽一切办法来榨干它,攫取更多利益。
关键基础设施的网站发现挖矿代码,说明很有可能该网站已经被黑,不排除网站数据已被盗走的可能性。
黑产黑掉一个网站或服务器,通常不仅盗走数据,还会想尽一切办法来榨干它,攫取更多利益。
关键基础设施的网站发现挖矿代码,说明很有可能该网站已经被黑,不排除网站数据已被盗走的可能性。
他透露,关键基础设施虽然很重要,但实际当中看来大多数网站安全防护并不到位。这次在多个关键基础设施网站发现挖矿代码就是一个例子。
利用在网站中插入挖矿脚本来实现流量变现,正在成为一股不可阻挡的势力,挖矿的巨大利润势必会让更多站长效仿以及黑客们趋之若鹜。
网站偷取用户的CPU资源挖矿,Cionhive 之流提供挖矿服务躺着挣钱,黑客在自己黑掉的网站上嵌入挖矿代码,借鸡下蛋。
利益面前,众人吃相只会越来越难看。
-完-
参考资料:
白帽汇刘宇.《关键基础设施被黑产利用挖矿》
360安全卫士.《网站代码中暗藏JS挖矿机脚本》.Freebuf.com
腾讯电脑管家.《看片要当心了!色站不只掏空你,还可能掏空你的电脑》.Freebuf.com
差评.《上网的时候听听风扇有多响,你的电脑可能被偷偷拿去挖矿了!》