台湾知名硬件网站 PCDIY 被骇，疑似被植入挖矿，请各位协助测试

显示全部楼层 · 发表于 2017-12-12 23:07:55

本帖最后由 KevinYu0504 于 2017-12-12 23:12 编辑

这次被骇且植入恶意内容的是台湾知名的硬件杂志、网站叫做 PCDIY，
PCDIY 算是台湾相当久以前就成立专门讨论硬件的媒体。

该网站于 2017/12/09 晚间就被人发现当浏览者进入网站后，
CPU 会大量不当的提升并且不会下降。

目前 PCDIY 网站管理者当晚就已知此情形，但表示无法完整解决问题，还在努力中，
直到今日 12/12 日晚间似乎依旧无法完整解决问题。

12/09 晚间经过民间善心的网路威胁实验室协助调查，确认是被植入了 javascript 挖矿脚本及其他恶意内容，
虽站方不断移除恶意内容，但似乎无法根治，恶意脚本依旧。

更多相关撷图与证据可以参考友站 Mobile01 上的讨论 :
https://m.mobile01.com/topicdetail.php?f=508&t=5338198&p=3

感染网站网址 :

http://www.pcdiy.com.tw

复制代码

目前已知状况是当浏览者开启浏览器进入首页，(尤其是 Chrome)
CPU 使用率会急遽飙升且不会下降，疑似有挖矿行为，
浏览器反挖矿相关套件我亲自测试无效，例如 No coin 等均无反应。

*注 : 有时候进入网站会毫无反应，估计恶意行为可能是随机或者触发特定条件才会发生

另外不少人也反映遇到绑架转址，出现假的软件升级讯息(实际为勒索软件)。

小弟使用的 Malwarebytes 有在 12/09 当晚优先拦截并拉黑特定网域，
但之后几天面对 CPU 急遽提升状况目前无反应。

劳烦各位协助测试，看看是否有其他防护软件有反应 ?

显示全部楼层 · 发表于 2017-12-13 00:47:23

卡巴正常

显示全部楼层 · 发表于 2017-12-13 01:12:50

abcxzr5 发表于 2017-12-13 00:47
卡巴正常

昨日还有网友反应卡巴进入后会报毒，
现在没有了吗 ?

也许有害的脚本已经移除了 .....

但我 Chrome 进入后怎 CPU 还是狂飙

显示全部楼层 · 发表于 2017-12-16 08:33:20

Forbidden

You don't have permission to access /assets/js/layout.min.js on this server.

Apache/2.4.7 (Ubuntu) Server at www.pcdiy.com.tw Port 80

显示全部楼层 · 发表于 2017-12-16 17:28:22

安全守护者发表于 2017-12-16 08:33
ForbiddenYou don't have permission to access /assets/js/layout.min.js on this server.
Apache/2.4. ...

我后来用 Adguard 也找到了这个 js 档，
貌似还在网站中，
但无法运作了 ?

总之，我之前发消息给 PCDIY 站方，
得到的回应是说 " 我们已经全部处理好了 " 这样的回应。

不知是否真的都安全了

显示全部楼层 · 发表于 2017-12-18 12:38:24

chrome 63，KIS拦截：
捕获2.PNG

然而用QQ浏览器10时KIS没反应：
捕获.PNG

显示全部楼层 · 发表于 2017-12-18 15:19:30

你看我头像发表于 2017-12-18 12:38
chrome 63，KIS拦截：

感谢协助测试 ~

两天前我收到该网站管理员的讯息，
告知我说网站所有威胁均已处理完毕，
现在又出现，莫非又被植入恶意脚本了

?

显示全部楼层 · 发表于 2017-12-19 14:29:15

Dr.Web 在线检测，没问题

Checking: http://www.pcdiy.com.tw/assets/js/slick-index.js
File size: 748 bytes
File MD5: baef444f9de4fa88bfde0522e4d700c6
http://www.pcdiy.com.tw/assets/js/slick-index.js - archive JS-HTML
>http://www.pcdiy.com.tw/assets/js/slick-index.js/JSFile_1[0][2ec] - Ok
http://www.pcdiy.com.tw/assets/js/slick-index.js - Ok
Checking: http://www.pcdiy.com.tw/assets/js/main.min.js
File size: 2112 bytes
File MD5: 4f902ad5b675dc98ac7de4694011c369
http://www.pcdiy.com.tw/assets/js/main.min.js - Ok
Checking: http://www.pcdiy.com.tw/assets/js/sticky-kit.min.js
File size: 3065 bytes
File MD5: 645d5337ef9b2f923abcdfdf060258e5
http://www.pcdiy.com.tw/assets/js/sticky-kit.min.js - archive JS-HTML
>http://www.pcdiy.com.tw/assets/js/sticky-kit.min.js/JSFile_1[0][bf9] - Ok
http://www.pcdiy.com.tw/assets/js/sticky-kit.min.js - Ok
Checking: http://cdnjs.cloudflare.com/ajax/libs/jquery/2.1.3/jquery.min.js
File size: 82.38 KB
File MD5: 7f9fb969ce353c5d77707836391eb28d
http://cdnjs.cloudflare.com/ajax/libs/jquery/2.1.3/jquery.min.js - archive JS-HTML
>http://cdnjs.cloudflare.com/ajax/libs/jquery/2.1.3/jquery.min.js/JSTag_1[136d1][12b2] - Ok
http://cdnjs.cloudflare.com/ajax/libs/jquery/2.1.3/jquery.min.js - Ok
Checking: http://www.pcdiy.com.tw/assets/js/google-jsapi.js
File size: 24.67 KB
File MD5: 0c630f14dd32fe5a1bb98fadeb614aa5
http://www.pcdiy.com.tw/assets/js/google-jsapi.js - archive JS-HTML
http://www.pcdiy.com.tw/assets/js/google-jsapi.js - Ok
Checking: http://www.pcdiy.com.tw/assets/js/materialize.js
File size: 251.49 KB
File MD5: c9d6d023aa712672464f850357133565
http://www.pcdiy.com.tw/assets/js/materialize.js - Ok
Checking: http://www.pcdiy.com.tw/assets/js/slick.min.js
File size: 39.51 KB
File MD5: 634340b2c35983ff10737cb4c7b7fed6
http://www.pcdiy.com.tw/assets/js/slick.min.js - Ok
Checking: http://www.pcdiy.com.tw
Engine version: 7.0.28.2020
File size: 269.17 KB
File MD5: 59bbc6f78ac8e568f8bc4b4ddcc56c55
http://www.pcdiy.com.tw - archive JS-HTML
>http://www.pcdiy.com.tw/JSTAG_1[64a][159] - Ok
>http://www.pcdiy.com.tw/JSTAG_2[4318b][30b] - Ok
http://www.pcdiy.com.tw - Ok

复制代码

显示全部楼层 · 发表于 2017-12-19 15:20:11

应该是有问题的，打开以后CPU从9%一下子到90%。但是Dr.Web并没有报，chrome也没反应

显示全部楼层 · 发表于 2017-12-19 15:32:09

已经向Dr.Web提交了，收到邮件说正在分析。不过按毛子的尿性应该不会加黑，以前提交的好多挖矿网站都没有反应......

[其它] 台湾知名硬件网站 PCDIY 被骇，疑似被植入挖矿，请各位协助测试