🔗 挖矿病毒过滤

作者：Yuri Voinov

🔗 目录

恶意软件挖矿脚本是利用用户CPU/内存资源而不经用户明确许可的现代趋势。这是一个实际存在的问题，可以通过浏览器插件来抑制。然而，这需要手动安装附加组件，并且在某些情况下是不可能的。

🔗 用法

为了保护用户免受挖矿病毒的侵害，只需设置一个网关来阻止恶意JS与挖矿池之间的通信即可。这将禁用客户端的挖矿病毒。

🔗 更多

无论如何，要实现这一目标，您应该设置一个支持SSL Bump的Squid。由于超过80%的HTTP流量是加密的，没有对加密流量的检查，代理就没有意义。不要忘记安全问题——这样的代理不应降低安全性，其缓存应受到保护，防止未经授权的访问，日志也一样。

实现防挖矿病毒的最便捷方法是使用 ufdbguard。但是，如果您因任何原因不想使用重定向器，可以直接使用squid的acl（例如，dstdomain）。

🔗 Squid 配置文件

像这样粘贴配置文件

# ufdbGuard rewriter
url_rewrite_program /usr/local/ufdbguard/bin/ufdbgclient -m 4
url_rewrite_children 64 startup=8 idle=4 concurrency=4
url_rewrite_extras "%>a/%>A %un %>rm bump_mode=%ssl::bump_mode sni=\"%ssl::>sni\" referer=\"%{Referer}>h\""
url_rewrite_access allow all
url_rewrite_bypass off

您可以在 这里 找到可更新的挖矿病毒列表。

要使用cron自动化更新，您可以使用 此脚本

    #
    # Convert the miners server listing
    # into an ufdbGuard domains.
    # Modified by Y.Voinov (c) 2014,2018

    # Variables
    dst_dir="/usr/local/ufdbguard/blacklists/miners"
    work_dir="/tmp"
    filteruser="ufdb"
    filtergroup="ufdb"

    # OS commands
    AWK=`which awk`
    CHOWN=`which chown`
    ECHO=`which echo`
    GREP=`which grep`
    MV=`which mv`
    PRINTF=`which printf`
    TOUCH=`which touch`
    WGET=`which wget`

    $ECHO "List downloading..."
    $WGET -O $work_dir/miners "https://raw.githubusercontent.com/Marfjeh/coinhive-block/master/domains" && \
    $ECHO "Move to blacklists directory..."
    $MV $work_dir/miners $dst_dir/domains

    # Change permission
    $PRINTF "Set permissions..."
    $CHOWN $filteruser:$filtergroup $dst_dir/domains
    $ECHO "Done."

    # Update date'n-time
    $PRINTF "Update date and time to current..."
    $TOUCH $dst_dir/*
    $ECHO "Done."
    #

🔗 ufdbguard 配置

在 ufdbguard.conf 中添加分类

category miners {
        domainlist "miners/domains"
        redirect "http://your_proxy_FQDN:8080/cgi-bin/URLblocked.cgi?clientgroup=%s&clientaddr=%a&category=%t&url=%u"
}

然后将 **!miners** 添加到 ufdbguard ACL 中。不要忘记编译挖矿病毒数据库并重启 ufdbguardd。

另外，不要忘记配置 ufdbguard 以与启用了 Bump 的 Squid 一起工作

redirect-bumped-https "https://your_proxy_FQDN:4443/cgi-bin/URLblocked.cgi?clientgroup=%s&clientaddr=%a&category=%t&url=%u"

并确保您的重定向 Web 服务器已配置 SSL。

---

⚠️ Disclaimer: Any example presented here is provided "as-is" with no support
or guarantee of suitability. If you have any further questions about
these examples please email the squid-users mailing list.

类别： ConfigExample

导航：网站搜索、网站页面、分类、🔼 向上