按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

網頁挖礦程式的防範

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:108-03-13
  • 點閱次數:3246
駭客利用使用者系統資源進行挖礦,賺取虛擬貨幣

近年來,虛擬貨幣興起,像是比特幣、門羅幣、以太幣等,越來越多人投入挖礦熱潮,駭客則利用某些網站存在的漏洞,將挖礦程式植入網站中,造成使用者在瀏覽該網站時,駭客則可利用使用者的系統資源進行挖礦,使用者的系統效能則可能異常降低。

 

TWCERT/CC防護建議:

  1. 在瀏覽網頁時,若在非預期情況下,發現系統效能持續降低,應提高警覺。可透過開啟瀏覽器的開發工具(例如Chrome可透過F12開啟),檢查網頁是否有下列挖礦程式碼(為防止使用者誤點擊,網址加入括號"[]",如[.]):
    digxmr[.]com/deepMiner.js
    coin-hive[.]com/lib/coinhive.min.js
    crypto-loot[.]com/lib/miner.min.js
  2. 若發現某網站有挖礦程式,應立即通報TWCERT/CC。
  3. 可於瀏覽器中安裝防止挖礦程式執行的合法外掛程式,例如AdBlock Plus、AntiMiner、MinerBlock或No Coin,來阻擋已知的挖礦程式。
  4. 網站管理者若發現其網站遭植入挖礦程式,應移除挖礦程式,並全面檢查與強化系統的安全性。
  5. 網站管理者應隱藏網站伺服器、網頁開發框架等系統資訊,避免開啟未使用的通訊埠,及定期更新防毒軟體、作業系統及應用程式,以降低網站被攻擊利用的風險。
回頁首