在不少网站上，管理员接入了第三方应用，例如聊天、支付等等，但是这样安全吗？

最近在深影论坛上淘片时发现多了一个在线聊天平台，交互做的还不错，因为其他原因需要结束个进程，打开任务管理器一看，chrome的CPU使用率达到了30%左右，平常不到1%的使用率现在这么高，第一反应是被“挖矿”了，关了深影论坛的网页，使用率瞬间下降，印证了自己的想法。出于好奇，原以为是深影被黑然后植入挖矿代码，经过分析远远不止如此。

打开chrome，访问触发挖矿代码的页面，拿wireshark抓包分析，发现挖矿代码：

http://52.80.10.9:2333/embed会调用三个js文件，为典型的JS挖矿代码，其中还设置了阈值，可能是怕用户侧感知到卡顿等现象，需要注意的是这个HTTP头中的Referer：

http://www.xianliao.me/h/cf56e1cc3310688cad0b550e65863f95afe3b424274fc247d9a5b8c7f80e98c5ffbc8a1a9a7ef8376312e8d8e7c61d426e9f8f6c1a82542287350723567b4dcc

可以看到地址是www.xianliao.me，闲聊么是一款聊天平台接口，注册公司是上海夜磬网络科技有限公司，提供“一站式网站聊天平台”服务，在很多论坛可以看见其身影。从其官网查询可看到以下论坛都是他的合作对象。

难道是该网站提供的第三方聊天平台服务有挖矿代码？我们继续分析，打开熟悉的人人影视，的确采用了闲聊么的聊天组件，但是却没有触发挖矿代码，这令我很奇怪。查看网页源码：

看到会调用https://www.xianliao.me/embed.js，继续分析该js文件，js中会发起get请求，url拼接规则如下：

但是没找到访问人人影视不触发挖矿代码的原因。随后继续从深影论坛流量中看，想起刚才的referer，查看前一个请求：

相应数据包中找到了嵌入的挖矿地址代码：

该请求的Refere为http://www.shinybbs.info/forum.php?mod=viewthread&tid=89982&page=4，由于host的变化，判断存在跳转，拿出burp来直接观察其跳转过程。

下图为调用本地embed.js，生成的GET请求。 

随后响应包中会进行重定向，新的地址为：

www.xianliao.me/h/458b40e2a092203b5318159808f5f532ea2ab0b2e0ecaca373384bc299882a972e4a69a0d561b268ec283b72c9683a77ab947947b4db021d1cc0293a05bc355f

接着带着新生成的URL发起GET，返回的包中有挖矿代码地址。

调用流程应该是本地会将一些参数发送到服务器，然后服务器返回一个“串”，带着该“串”的url再去访问服务器，来决定是否会返回挖矿代码地址。由于是服务器返回的“串”决定其是否返回挖矿代码，因此我们测试数据包中的cookie、referer、url中的参数值，发现最后影响是否返回的真正原因是xml_wid（顺便吐槽一下，测试到最后才发现是该参数，因为参数是写死在html源码里的，以为会根据其他因素去判断结果费了半天劲），经测试该机制为白名单，只有人人影视这种白名单用户才不会返回，输入其他的值均会返回挖矿代码地址。

至此，整个流程就搞通了，闲聊么网站依靠可以免费接入的聊天平台进行浏览器挖矿，当然我们不排除该网站被黑，然后建立了白名单分发挖矿代码，不过站在黑客角度貌似有些麻烦，不过从另一个角度考虑，可能是该公司为了盈利而采取的牟利手段，亦或者是公司的研发调皮了想自己挣些外快（各种阴谋论我不擅长= =）。无论是哪种情况，最后都希望能够让我们用户能安全的上网，如果真的内容值得浏览，我也不会选择去别人挖矿！哈哈

*本文作者：fiysky，转载请注明来自 FreeBuf.COM