誤點(diǎn)的色情網(wǎng)站，很可能用你的電腦“挖礦”

0×1 概況

近日，騰訊電腦管家發(fā)現(xiàn)有多個網(wǎng)站在其網(wǎng)頁內(nèi)嵌了挖礦JavaScript腳本，用戶一旦進(jìn)入此類網(wǎng)站，JS腳本就會自動執(zhí)行，占用大量的機(jī)器資源以挖取門羅幣，使電腦出現(xiàn)卡慢問題。據(jù)分析，內(nèi)嵌JS挖礦的站點(diǎn)主要有色情視頻、小說、網(wǎng)頁游戲等類型，由于這類站點(diǎn)打開后往往會停留一段時間才出現(xiàn)界面，用戶比較不易感知到機(jī)器卡慢，這也成為不法分子利用該類色情網(wǎng)頁挖礦的原因之一。

0×2 挖礦行為分析

1. 以某色情網(wǎng)站為例，打開后如下

圖1. 某色情網(wǎng)站網(wǎng)頁

2. 打開任務(wù)管理器，我們可看到該站點(diǎn)打開后，CPU使用率立馬上升并且一直保持100%狀態(tài)。

圖2. CPU使用率上升至100%

3. 查看該網(wǎng)頁源碼，即可找到內(nèi)嵌的JS挖礦機(jī)https://coin-hive.com/lib/coinhive.min.js

圖3. 網(wǎng)頁中內(nèi)嵌的JS挖礦機(jī)

圖4. 網(wǎng)頁中內(nèi)嵌的JS挖礦機(jī)

4. 該JS挖礦機(jī)是由Coinhive提供的一個服務(wù)，采用了Cryptonight挖礦算法挖門羅幣，而Cryptonight算法復(fù)雜、占用資源高，常被植入普通用戶機(jī)器，占用其CPU資源來挖礦。Coinhive每隔數(shù)小時會根據(jù)市場情況，實時調(diào)整門羅幣分配，例如截止發(fā)稿時，官方給出的是0.00015579XMR/MH，根據(jù)門羅幣當(dāng)前價格換算也就是0.0825687RMB/MH。另外，Coinhive會抽取30%的收益，剩余70%的收益則由網(wǎng)站站點(diǎn)收取。

圖5. Coinhive收益分配

5. 諷刺的是，Coinhive特別說明不要在不提示用戶的情況下使用該服務(wù)，因為用戶的利益比任何公司短期利益都要重要的多；然而實際情況是該服務(wù)已經(jīng)被各個站點(diǎn)濫用。

圖6. Coinhive提示：如使用該服務(wù)，建議先告知用戶

6. 同時，通過分析發(fā)現(xiàn)，Coinhive提供的接口能夠控制CPU使用率，使得CPU使用率不會一直過高，這樣機(jī)器挖礦的同時不會變得明顯卡慢，使挖礦行為更加隱蔽而難以被發(fā)現(xiàn)。

圖7. 挖礦機(jī)控制CPU使用率

安全人員進(jìn)一步分析后，發(fā)現(xiàn)有數(shù)百個站點(diǎn)存在內(nèi)嵌JS挖礦機(jī)的情況。

圖8. 部分JS挖礦站點(diǎn)

其中大部分都是色情網(wǎng)站

圖9. JS挖礦站點(diǎn)類型分布

數(shù)據(jù)顯示，9月中下旬JS挖礦訪問量猛增，盡管本周稍有回落，但是依然有上漲的趨勢。

圖10. 9月JS挖礦訪問量趨勢圖