Webů těžících kryptoměny přibývá, ať už jde o weby snažící se vydělat na svůj provoz (nejčastěji porno weby) nebo o napadené stránky, jejichž majitel nemá o těžbě vůbec ponětí a na jeho uživatelích vydělávají jiní. Přesvědčili se o tom správci několika tisíc vládních webů v Británii, Spojených státech či Švédsku.
Nejčastěji se přitom těží přes službu Coinhive, která umožňuje těžit měnu Monero pomocí JavaScriptu. Čerstvý výzkum společnost Netlab patřící pod Qihoo 360 ukázal, že 84 % těžících stránek využívá právě tuto službu (68+10+6 % za AuthedMine, která patří taky pod Coinhive).
Známý bezpečnostní analytik Scott Helme upozornil na to, že je možné pomocí Google snadno vyhledat weby, které těžařské skripty obsahují. V Česku na to jako první upozornil Michal Špaček. Do vyhledávače stačí zadat: intitle:"var miner = new CoinHive" site:cz
Oh wow, with some basic Google Dorks you can find sites that have been infected with cryptojacking miners! https://t.co/ylhhpiRZZR"var+miner+%3D+new+CoinHive"
— Scott Helme (@Scott_Helme) February 13, 2018
V doméně .CZ je nalezeno přes tisíc stránek nejrůznějších organizací i jednotlivců. Zajímavé je, že v .SK je situace ještě horší, tam je nalezeno téměř devět tisíc jednotlivých stránek. Na Slovensku mají s těžením kryptoměn neblahé zkušenosti, web Slovak Telekomu těžil velmi dlouho.
Kryptotěžaře je možné odhalit také klíče ke Coinhive, který také odhalí konkrétní weby. Skupiny CSIRT.CZ a SK CSIRT byly o problému informovány a měly by varovat držitele domén, že je jejich web napaden.
Tomáš Srnka ze společnosti Websupport uvádí, že jde nejčastěji o útok prostřednictvím zastaralých redakčních systémů WordPress nebo Joomla. Stačí nechat zastaralý plugin (Srnka uvádí /wp-content/plugins/ubh/up.php nebo wp-file-manager) a web se stává zranitelným. Do kódu je pak přidán JavaScript starající se o těžbu.
Skripty ve zdrojovém kódu stránky
Aktualizováno 19. února: Dodatečně jsme obdrželi vyjádření Rucharda Čermáka ze společnosti WebSupport, který potvrzuje, že těžící skripty jsou hosterem automaticky odstraňovány: Isté je to, že z konkrétnych napadnutých webov už nikto neťaží, pretože kód mineru je automaticky odstránený (na úrovni webového servera/loadbalancera).
Firma tvrdí, že k žádnému průniku do její infrastruktury nedošlo. Predpokladáme, že dôvod, prečo je väčšina napadnutých webov práve na našich serveroch je ten, že hostujeme najväčšiu časť slovenského internetu. Aktuálne hľadáme spojitosť medzi zneužitými webmi na aplikačnej úrovni. Na úrovni infraštruktúry sa doposiaľ prienik nepotvrdil.
V tomto zmysle odporúčame zákazníkom používať najnovšie PHP a MySQL, aktualizované CMS na najnovšiu verziu a používať iba overené a udržiavané pluginy CMS,
dodává Čermák.
ČLÁNKY DO MAILU