AWAS.! Website Anda Terinfeksi Malware Crypto Mining.

Beberapa bulan ini ramai tentang malware crypto mining yang menginfeksi banyak website dan salah satunya adalah website situs berita indonesia yaitu beritasatu.com

Awalnya saya acuh tentang bitcoin dan sejenisnya, tapi kali ini mau-tidak-mau saya harus mencari informasi tentang bitcoin, cryptocurrency lainya karena bersinggungan dengan malware, website dan server.

Yang kita pikirkan kira-kira :

  1. Bagaimana jika ternyata server kami terkena inject?
  2. Bagaimana jika ternyata website pelanggan kami yang kena inject?

Jika memang terjadi, biasanya pelanggan bertanya kepada kami. Kenapa website jadi lambat? kenapa pengunjung ketika membuka website kami jadi lambat? dan sebagainya.

Otomatis hal ini berimbasnya kepada kami khususnya kepada tim support kami yang harus menjawab pertanyaan-pertanyaan tersebut.

Berikut ini adalah hasil penelusuran yang kami dapatkan.

Penelusuran

Pertama saya mulai publikasi dari Sucuri pada tanggal 22 Sepetember 2017 dengan Judul Hacked Website Mine Cryptocurrency

Publikasi tersebut menyatakan terdapat sistem dimana anda bisa menambang coin menggunakan script javascript yang bisa disisipkan ke dalam website.

Apabila anda pernah memasang kode script seperti google analytic, script ads google adwords dan lainya maka script penambangan coin ini sama persis seperti script ads tersebut.

Script javascript berjalan di background komputer pengunjung website kemudian memanfaatkan cpu untuk melakukan penambangan coin cryptocurrency.

ilustrasinya seperti ini

CPU load komputer akan naik drastis ketika mengakses website yang di dalamnya terdapat script penambangan coin.

Apa efeknya?

Komputer jadi lambat ketika mengakses situs tersebut.

Terdapat 2 kondisi website yang didalamnya terdapat script minning tersebut, yaitu :

  1. Memang sengaja pemilik website menambahkan script minning untuk menambah penghasilan.
  2. Website anda di inject script minning coin oleh hacker

Jika penggunaan script penambangan coin cryptocurrency tersebut memang disengaja oleh pemilik website, maka itu merupakan hak mereka.

Tapi sebaliknya, bagaimana anda tidak menyadari jika website anda ternyata terinject malware cryptocurrency mining tersebut?

untuk itu sementara ini mari kita harus tahu siapa saja provider javascript crypto currency mining dan seperti apa kode injeksinya.

Provider Javascript Cryptocurrency Mining

Dari publikasi Sucuri diatas hanya disebutkan 2 provider saja yaitu jsecoin.com dan coin-hive.com.

Setelah menelusuri lagi saya menemukan informasi daftar provider javascript cryptocurrency mining ini dari MalwareBytes.com pada publikasi pada tanggal 18 Oktober 2017 dengan judul Why MalwareBytes Blocking CoinHive

Alasan MalwareBytes memblokir website provider javascript mining tersebut karena banyak pemilik website yang memasang script mining coin tidak meminta ijin kepada pengunjung websitenya.

Coba, apakah anda rela CPU anda digunakan untuk menambang coin? dan yang dapat keuntungan adalah pemilik websitenya.

Hal ini mirip sewaktu anda menggunakan speedy indihome. Terdapat iklan uzone.id yang disisipkan ke browser para pelanggannya. Yang mau-tidak mau para pengakses website harus terpaksa menerima dan melihat iklan tersebut.

Jengkel kan?

Berikut ini adalah daftar provider cryptocurrency yang diblokir MalwareBytes

coinnebula.com
crypto-loot.com
ws03.coinnebula.com
ws02.coinnebula.com
ws013.coinhive.com
ws012.coinhive.com
ws014.coinhive.com
ws008.coinhive.com
ws030.coinhive.com
xmr.pool.minergate.com
ws009.coinhive.com
ws011.coinhive.com

Berikut ini adalah salah satu kode injeksi yang dipublikasikan oleh sucuri

Cara Memblokir dari Sisi Pengunjung

Efek terbesar script malware mining ini terdapat pada pengunjung. Maka itu setelah kita mengetahui daftar provider yang mempublikasi cryptocurrency mining tersebut, selanjutnya kita mencari teknik bagaimana cara memblokir agar tidak menghabiskan CPU komputer kita.

Blokir Melalui file hosts

Jika anda menggunakan sistem operasi windows kita bisa memanfaatkan file hosts untuk memblokirnya.

edit file

c:\windows\system32\drivers\etc\hosts

kemudian isi dengan

127.0.0.1 coinnebula.com
127.0.0.1 crypto-loot.com
127.0.0.1 ws03.coinnebula.com
127.0.0.1 ws02.coinnebula.com
127.0.0.1 ws013.coinhive.com
127.0.0.1 ws012.coinhive.com
127.0.0.1 ws014.coinhive.com
127.0.0.1 ws008.coinhive.com
127.0.0.1 ws030.coinhive.com
127.0.0.1 xmr.pool.minergate.com
127.0.0.1 ws009.coinhive.com
127.0.0.1 ws011.coinhive.com
127.0.0.1 jsecoin.com

Blokir dengan Javascript Block

Anda bisa menggunakan browser addon yang berfungsi memblokir script javascript.

  1. Untuk firefox gunakan Noscript
  2. Untuk Chrome gunakan No Coin atau Minnerblock
  3. untuk Opera anda bisa gunakan Noscript

Troubleshoot Website Terinject Crypto Mining

Apabila terdapat indikasi website anda terinject malware script crypto mining, maka anda bisa melakukan pengecekan manual dengan cara klik kanan view code.

Kemudian perhatikan dengan teliti baris per baris kode script website.

Apabila terdapat script javascript yang merujuk ke domain-domain tersebut diatas, artinya website anda sudah terkena inject.

Anda bisa membersihkannya langsung dengan membuka file website dan mencari lokasi script tersebut.

Semoga tulisan ini dapat memberikan sedikit informasi seputar Malware crypto mining, khususnya untuk tim support kami, pelanggan dan pengunjung.

Sumber lain :

Sharing is Caring.!

Blog

Leave a Reply

  Subscribe  
Notify of