Вики IT-KB

В большинстве случаев на клиентских компьютерах организаций в состав средств обеспечения информационной безопасности входит какое-либо антивирусное программное обеспечение. Многие виды антивирусного ПО на сегодняшний день способны идентифицировать скрипты веб-майнинга, создающие чрезмерную нагрузку на клиентской системе, как нежелательный, или даже вредительский, контент, и автоматически блокируют к нему доступ. Но если говорить о многоуровневой защите клиентских систем, то дополнительным методом защиты от веб-майнинга может стать полная блокировка веб-доступа ко всем известным доменам, обеспечивающим доставку скриптов веб-майнинга. Учитывая то, что на сегодняшний день список таких доменов ещё не сильно велик, мы можем использовать для такой блокировки обычный, так называемый, блэк-листинг. Здесь мы рассмотрим простейший пример создания конфигурации веб-прокси Squid, который позволит предотвратить доступ к вредительским доменам, предоставляющим скрипты веб-майнинга.

Для начала в каталоге конфигурационных файлов squid (/etc/squid/) создадим вспомогательный конфигурационный файл acl-dstdomain-blockedsites.cfg, в который будем заносить перечень запрещённых доменов. Содержимое файла будет иметь примерно следующий вид:

acl-dstdomain-blockedsites.cfg''

# Squid ACL : blockedsites
# ACL type  : dstdomain
# ACL info  : List of destination sites in Internet blocked for all users
# --------------------------------------------------------------------------------------------
# How to add domains and sites to this file:
#
# 1. Use only the domain name EXCLUDING the protocol prefix,
#    i.e. don't put "http://" at the start.
#
# 2. Do not append a directory to the domain name,
#    i.e. don't put /index.php/path/blah.html at the end of the name.
#
# 3. Prefix each entry with a single dot ".",
#    this ensures a match of example.com and www.example.com.
#
# 4. If you need to match different top level domains like .com,
#    .net, .com.au for sites that have multiple top level domains to
#    the same website then add a seperate entry for each e.g.
#    .example.com
#    .example.com.au
# -------------------------------------------------------------------------------------------
#
#
### Block web-mining
#
.coinhive.com
.coin-hive.com
.coin-have.com
.jsecoin.com
.reasedoper.pw
.mataharirama.xyz
.listat.biz
.lmodr.biz
.minecrunch.co
.minemytraffic.com
.crypto-loot.com
.2giga.link
.ppoi.org
.coinerra.com
.kisshentai.net
.miner.pr0gramm.com
.kiwifarms.net
.reactor.cc
.joyreactor.cc
.kissdoujin.com
.minero.pw
.coinnebula.com
.afminer.com
.coinblind.com
.webmine.cz
.monerominer.rocks
.cloudcoins.co
.coinlab.biz
.papoto.com
.cookiescript.info
.cookiescriptcdn.pro
.rocks.io
.ad-miner.com
.now.sh
#
#

В основной конфигурационный файл /etc/squid/squid.conf вносим две правки. В раздел ACCESS CONTROLS добавляем запись о новом списке контроля доступа (ACL) с типом dstdomain:

...
# ACCESS CONTROLS
# -----------------------------------------------------------------------------
#
...
acl blockedsites        dstdomain "/etc/squid/acl-dstdomain-blockedsites.cfg"
...

и затем далее в правила доступа (в самое начало) добавляем запись типа:

...
# Deny access to web-mining domains
http_access deny blockedsites
...

После того как мы закончили с редактированием конфигурационного файла, можем применить новую конфигурацию Squid:

# squid -k reconfigure

Теперь клиент прокси, зайдя на какой-либо из сайтов с внедрённым кодом вызова скриптов веб-майнинга не будет испытывать проблем с производительностью, так как вредительский скрипт попросту не будет загружен в клиентский браузер.

Проверено на следующих конфигурациях:

Автор первичной редакции:
Алексей Максимов
Время публикации: 31.12.2017 16:26