Beberapa bulan ini ramai tentang malware crypto mining yang menginfeksi banyak website dan salah satunya adalah website situs berita indonesia yaitu beritasatu.com
Contents
Awalnya saya acuh tentang bitcoin dan sejenisnya, tapi kali ini mau-tidak-mau saya harus mencari informasi tentang bitcoin, cryptocurrency lainya karena bersinggungan dengan malware, website dan server.
Yang kita pikirkan kira-kira :
- Bagaimana jika ternyata server kami terkena inject?
- Bagaimana jika ternyata website pelanggan kami yang kena inject?
Jika memang terjadi, biasanya pelanggan bertanya kepada kami. Kenapa website jadi lambat? kenapa pengunjung ketika membuka website kami jadi lambat? dan sebagainya.
Otomatis hal ini berimbasnya kepada kami khususnya kepada tim support kami yang harus menjawab pertanyaan-pertanyaan tersebut.
Berikut ini adalah hasil penelusuran yang kami dapatkan.
Penelusuran
Pertama saya mulai publikasi dari Sucuri pada tanggal 22 Sepetember 2017 dengan Judul Hacked Website Mine Cryptocurrency
Publikasi tersebut menyatakan terdapat sistem dimana anda bisa menambang coin menggunakan script javascript yang bisa disisipkan ke dalam website.
Apabila anda pernah memasang kode script seperti google analytic, script ads google adwords dan lainya maka script penambangan coin ini sama persis seperti script ads tersebut.
Script javascript berjalan di background komputer pengunjung website kemudian memanfaatkan cpu untuk melakukan penambangan coin cryptocurrency.
ilustrasinya seperti ini
CPU load komputer akan naik drastis ketika mengakses website yang di dalamnya terdapat script penambangan coin.
Apa efeknya?
Komputer jadi lambat ketika mengakses situs tersebut.
Terdapat 2 kondisi website yang didalamnya terdapat script minning tersebut, yaitu :
- Memang sengaja pemilik website menambahkan script minning untuk menambah penghasilan.
- Website anda di inject script minning coin oleh hacker
Jika penggunaan script penambangan coin cryptocurrency tersebut memang disengaja oleh pemilik website, maka itu merupakan hak mereka.
Tapi sebaliknya, bagaimana anda tidak menyadari jika website anda ternyata terinject malware cryptocurrency mining tersebut?
untuk itu sementara ini mari kita harus tahu siapa saja provider javascript crypto currency mining dan seperti apa kode injeksinya.
Provider Javascript Cryptocurrency Mining
Dari publikasi Sucuri diatas hanya disebutkan 2 provider saja yaitu jsecoin.com dan coin-hive.com.
Setelah menelusuri lagi saya menemukan informasi daftar provider javascript cryptocurrency mining ini dari MalwareBytes.com pada publikasi pada tanggal 18 Oktober 2017 dengan judul Why MalwareBytes Blocking CoinHive
Alasan MalwareBytes memblokir website provider javascript mining tersebut karena banyak pemilik website yang memasang script mining coin tidak meminta ijin kepada pengunjung websitenya.
Coba, apakah anda rela CPU anda digunakan untuk menambang coin? dan yang dapat keuntungan adalah pemilik websitenya.
Hal ini mirip sewaktu anda menggunakan speedy indihome. Terdapat iklan uzone.id yang disisipkan ke browser para pelanggannya. Yang mau-tidak mau para pengakses website harus terpaksa menerima dan melihat iklan tersebut.
Jengkel kan?
Berikut ini adalah daftar provider cryptocurrency yang diblokir MalwareBytes
coinnebula.com
crypto-loot.com
ws03.coinnebula.com
ws02.coinnebula.com
ws013.coinhive.com
ws012.coinhive.com
ws014.coinhive.com
ws008.coinhive.com
ws030.coinhive.com
xmr.pool.minergate.com
ws009.coinhive.com
ws011.coinhive.com
Berikut ini adalah salah satu kode injeksi yang dipublikasikan oleh sucuri
Cara Memblokir dari Sisi Pengunjung
Efek terbesar script malware mining ini terdapat pada pengunjung. Maka itu setelah kita mengetahui daftar provider yang mempublikasi cryptocurrency mining tersebut, selanjutnya kita mencari teknik bagaimana cara memblokir agar tidak menghabiskan CPU komputer kita.
Blokir Melalui file hosts
Jika anda menggunakan sistem operasi windows kita bisa memanfaatkan file hosts untuk memblokirnya.
edit file
c:\windows\system32\drivers\etc\hosts
kemudian isi dengan
127.0.0.1 coinnebula.com
127.0.0.1 crypto-loot.com
127.0.0.1 ws03.coinnebula.com
127.0.0.1 ws02.coinnebula.com
127.0.0.1 ws013.coinhive.com
127.0.0.1 ws012.coinhive.com
127.0.0.1 ws014.coinhive.com
127.0.0.1 ws008.coinhive.com
127.0.0.1 ws030.coinhive.com
127.0.0.1 xmr.pool.minergate.com
127.0.0.1 ws009.coinhive.com
127.0.0.1 ws011.coinhive.com
127.0.0.1 jsecoin.com
Blokir dengan Javascript Block
Anda bisa menggunakan browser addon yang berfungsi memblokir script javascript.
- Untuk firefox gunakan Noscript
- Untuk Chrome gunakan No Coin atau Minnerblock
- untuk Opera anda bisa gunakan Noscript
Troubleshoot Website Terinject Crypto Mining
Apabila terdapat indikasi website anda terinject malware script crypto mining, maka anda bisa melakukan pengecekan manual dengan cara klik kanan view code.
Kemudian perhatikan dengan teliti baris per baris kode script website.
Apabila terdapat script javascript yang merujuk ke domain-domain tersebut diatas, artinya website anda sudah terkena inject.
Anda bisa membersihkannya langsung dengan membuka file website dan mencari lokasi script tersebut.
Semoga tulisan ini dapat memberikan sedikit informasi seputar Malware crypto mining, khususnya untuk tim support kami, pelanggan dan pengunjung.
Sumber lain :
Konsultasi via WA di 0817-0334-1186Posting Terkait :
Seringkali jika website sudah terkena malware kita barulah kelabakan bingung cari cara untuk membersihkannya. Padahal di internet sudah terdapat beberapa Read more
Diantara fitur paket email hosting kami adalah sistem auto delete pesan email secara otomatis. Anda cukup mendefinisikan alamat email mana Read more
Untuk melaporkan email phising sepertinya belum ada layanan pelaporan yang bersifat global, sehingga saat ini untuk melaporkan kembali lagi ke Read more
[toc] Email Phising adalah email penipuan yang seolah-olah berasal atau terkirim dari sumber yang benar. Email phising mengelabui penerima email Read more
Pekerja teknis domain, hosting & server. Hubungi saya via WA di 0817-0334-1186 atau messengger di http://m.me/hsuwantoro
Leave a Reply
Want to join the discussion?Feel free to contribute!