Merhaba arkadaşlar, birkaç sitemde CoinHive'den aldığım kodları denerken. Gözüme birkaç kişinin sitesi takıldı.

Çoğu Hacker hedef değiştirmiş durumda olduğunu gördüm. HackLink, İndex Atma dönemi yavaş yavaş son bulmuş görünüyor.

Artık Hackerlar sitenize CoinHive ve benzeri yerlerden alınan JS kodlarını yerleştirerek , ziyaretçilerinizin CPU'larını kullanarak Mining yapıyorlar.

Şuan KasperSKY haricinde diğer Antivirüs programları bunun farkına varamıyor. KasperSKY'da sadece oynanmamış JS dosyalarını tespit edebiliyor.

Özellikle Wordpress 4.7.0 - 4.7.1 sürümünde bulunan çok basit bir açık sayesinde bu sürümü kullanan tüm sitelere çok basit bir şekilde kodlarını yerleştirilebiliyor. Wordpress 4.9.2 sürümünde de benzer bir açık keşfedilmesinden sonra tüm Wordpress sahipleri sitelerini acilen güncellemeleri gerekmektedir.

JS kodları BASE64 şifrelenmiş şekilde sitelerin Header ve Footer kısımlarına enjekte ediliyor. Header ve Footer kodlarınızı gözden geçirin.

En yaygın kod aşağıdaki şekilde başlıyor.

$l1=”\x63\x72e”.”\x61\x74e\x5F”.”\x66\x75\x6E”.”\x63\x74\x69″.”\x6F\x6E”;$ll=@$l1(‘$x’,

Bu konuya sitemde değindim bakmak isteyenler tıklasın