网页挖矿：打开网页CPU就跑满 网站是重灾区

　　随着身体一阵抽搐，屏幕上的画面顿时索然无味，小王有些郁闷，电脑配置不差，上网却很卡慢，电脑风扇嗡嗡作响，CPU占用率极速飙升，连电影画面都一卡一顿，令人兴致大减。

　　即使告诉他，他也不相信。因为他根本没下载什么东西，只是单纯地打开一个网站。如果这样就沦为矿工，那每天岂不是有成千上万人主动中招？

　　小王不知道，这些网站被嵌入了一段特殊的 JavaScript代码，它能像网站自动播放的视频一样，用户一点开网站就自动执行，占用浏览者电脑资源进行挖矿。

　　此时若打开任务管理器查看电脑CPU资源占用情况，会发现CPU已急剧飙升至100%。但小王们此时多半自己身体都已被掏空，哪功夫去管电脑死活。

　　虚拟货币挖矿，本质上是用计算机来解开一道数学计算题。每当有人发起虚拟货币交易，谁先计算出一道特殊的数学题来证明自己的计算能力，谁就优先记账，并获得一定量的虚拟货币奖励。

　　挖矿代码就抓住了这一点。你来浏览我网站，反正你电脑闲着也是闲着，我就丢一个数学题给你，帮我计算一下吧，借用一下你电脑的计算能力。

　　这就好比我在健身房里开了个小工厂，让每个来健身的人都来帮我干苦力活赚钱。——来，把这堆砖搬一下，你不反正都是来锻炼身体的么？

　　很贱是不是？网页挖矿的做法比之更加拙劣。它不需要事先作出任何通知，一切在用户不知情的情况下完成。进了我的网站，你就是我的矿工。

　　这类网站访问量大，通常有一定加载时间，不容易被用户发觉。哪怕发觉，多半用户也会被网站内容吸引，全然不顾自己的电脑，像是电影《倩女幽魂》里迷恋女鬼婀娜身姿而成为盘中餐的痴汉们。

　　除了色站，小说、游戏网站也是挖矿脚本的常驻地，他们同样依靠“优质”内容吸引用户驻留，然后有趁其不备榨干其设备CPU资源。

　　利用闲置机器资源来挖矿，这种物尽其用的思想本也没错，但在利益的驱使下，网站肆意占用浏览者电脑资源，全然不顾浏览体验，强取豪夺，让它变了味。

　　美国淘金热时，成千上万的年轻人奔赴矿山赌命，少数聪明人偏偏通过卖锄头、牛仔裤给他们而发家致富。网页挖矿也是如此，有人想在自家网站嵌入挖矿代码，便有人做起了挖矿代码支持的生意。

　　只要您网站上有10~20个活跃矿工，您就能预计每月收入0.3个XMR（门罗币，一种虚拟货币），折合26美元。

　　它采用了一种叫 Cryptonight挖矿算法挖门罗币，这种算法复杂、占用资源高，常被植入普通用户机器，占用其 CPU资源来挖矿。

　　有了Coinhive ，网站只要在网页里嵌入他们的代码，不需要自己布置矿机，就能立刻拥有鞭笞用户挖矿的能力。

　　虽然看起来，CPU挖矿速度极慢，但人多力量大，一个浏览量上千万、上亿的网站，嵌入这样的代码，攫取的利益绝非少数。

　　知名盗版电影网站海盗湾就觉得这笔生意能做。它在网站挂上挖矿代码，并甩出个公告，表示要用挖矿收益来替代广告收益。

　　虽然这种做法令不少用户不满，但对于坐拥近两千万日均访问用户的海盗湾，这笔生意确实能带来比广告更直观的收益。

　　国内，一个叫“万方科技学院内网代理系统 ”的网站也挂上挖矿脚本。虽然这个网站流量并不大，令人质疑挖矿盈利能力。但这并不重要，重要的是它说明了一个问题，网页挖矿对大小站长都具有一定吸引力。

　　据360安全卫士团队调查，自挖矿代码于9月15日出现后，但短短不到一周的时间，访问量就已经达到十万级且还在上涨：

　　对于 Coinhive来说，这实在是一笔一本万利的买卖。所有嵌入这段代码的网站源源不断为自己输送30%的挖矿利润，即使用户察觉，骂的也是嵌入挖矿代码的网站而非技术提供者。利润高还不用担责，还有比这更好的生意？

　　好生意谁都想做，旁人自然不会看着 Coinhive这么舒舒服服地垄断赚钱，浅黑科技幺哥发现，国内已经有人开始倒腾出了类似网站。

　　国内首家线上矿场开业啦！性感 Adblock/uOrigin在线发牌，多种过滤方式任您挑选 ……

　　从上面这段网站站长的描述来看，与其说这是个山寨赚钱项目，更不如说是几个程序员凭着兴趣和好奇倒腾出来的一个玩票项目。

　　然而，不论是利益驱使或是技术兴趣使然，网页嵌入挖矿代码这件事如今已被越来越多的人熟知，在可预见的未来，越来越多的人会去尝试。

　　安全公司白帽汇合伙人刘宇透露，他们利用网络安全搜索引擎 FOFA系统在全网范围检索，发现多家网站被嵌入挖矿代码，其中不乏关键基础设施。

　　所谓关键信息基础设施，是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统，对国家安全具有重要意义。

　　在白帽汇刘宇发来的FOFA搜索引擎2017年10月10日检索数据中，某部门备案管理系统以及某市汽车客运站赫然在目。

　　这意味着，这些关键基础设施被植入了挖矿代码。如果这些代码不是网站管理员自己植入的话，就意味着这些网站都被黑了。

　　关键基础设施的网站发现挖矿代码，说明很有可能该网站已经被黑，不排除网站数据已被盗走的可能性。

　　他透露，关键基础设施虽然很重要，但实际当中看来大多数网站安全防护并不到位。这次在多个关键基础设施网站发现挖矿代码就是一个例子。

　　利用在网站中插入挖矿脚本来实现流量变现，正在成为一股不可阻挡的势力，挖矿的巨大利润势必会让更多站长效仿以及黑客们趋之若鹜。

　　网站偷取用户的CPU资源挖矿，Cionhive之流提供挖矿服务躺着挣钱，黑客在自己黑掉的网站上嵌入挖矿代码，借鸡下蛋。

本文链接：https://www.zhaodll.cn/postd318.html