Крипто Denis Shiryaev
19 150

Скрытый майнер нашли на сайте в файле favicon.ico

Судя по всему, скрытый майнинг становится настоящей проблемой в 2018 году. Файл favicon.ico это маленькая такая иконка в пару килобайт, которая показывается у вашей вкладки браузера когда вы открываете сайт (сейчас там логотип vc.ru)

В закладки

Так вот, судя по скриншотам из этого твита, злоумышленники (не знаю, можно ли их так называть, но, наверное, можно — раз делают это без спроса) смогли успешно поместить туда код майнера для криптовалюты:

Код самого майнера
Нагрузка на CPU

На всякий случай порекомендую плагин для Chrome в стиле No Coin, который по идее поможет защитой от таких майнеров:

#майнинг #криптовалюты #блокчейн

{ "author_name": "Denis Shiryaev", "author_type": "editor", "tags": ["\u043c\u0430\u0439\u043d\u0438\u043d\u0433","\u043a\u0440\u0438\u043f\u0442\u043e\u0432\u0430\u043b\u044e\u0442\u044b","\u0431\u043b\u043e\u043a\u0447\u0435\u0439\u043d"], "comments": 78, "likes": 49, "favorites": 1, "is_advertisement": false, "subsite_label": "crypto", "id": 33544, "is_wide": false }
00
дни
00
часы
00
мин
00
сек
(function(){ var banner = document.querySelector('.teaserSberbank'); var isAdsDisabled = document.querySelector('noad'); if (!isAdsDisabled){ var countdownTimer = null; var timerItem = document.querySelectorAll('[data-sber-timer]'); var seconds = parseInt('15395' + '50799') - now(); function now(){ return Math.round(new Date().getTime()/1000.0); } function timer() { var days = Math.floor(seconds / 24 / 60 / 60); var hoursLeft = Math.floor((seconds) - (days * 86400)); var hours = Math.floor(hoursLeft / 3600); var minutesLeft = Math.floor((hoursLeft) - (hours * 3600)); var minutes = Math.floor(minutesLeft / 60); var remainingSeconds = seconds % 60; if (days < 10) days = '0' + days; if (hours < 10) hours = '0' + hours; if (minutes < 10) minutes = '0' + minutes; if (remainingSeconds < 10) remainingSeconds = '0' + remainingSeconds; if (seconds <= 0) { clearInterval(countdownTimer); } else { timerItem[0].textContent = days; timerItem[1].textContent = hours; timerItem[2].textContent = minutes; timerItem[3].textContent = remainingSeconds; seconds -= 1; } } timer(); countdownTimer = setInterval(timer, 1000); } else { banner.style.display = 'none'; } })();
{ "id": 33544, "author_id": 34154, "diff_limit": 1000, "urls": {"diff":"\/comments\/33544\/get","add":"\/comments\/33544\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/33544"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199126 }

78 комментариев 78 комм.

Популярные

По порядку

Написать комментарий...
32

У меня сомнения, что это работает. Браузер не должен выполнять контент favicon как JavaScript, должен отбрасывать, а поместить туда можно что угодно, если сам сайт заражен. Судя по последней строчке в favicon, он отдаётся скриптом и заражен сам сайт на PHP и он, скорее всего, отдаёт код майнера на любой запрос к нему, скриншот Activity Monitor это подтверждает, но это не значит, что это атака через favicon — бред %)

Ответить
7

Автор просто хайпожор, выдал желаемое за действительное

Ответить
0

Думаю надо ковырять глубже. Походу хакер зашел в ROOT и наплодил "разных" файлов по всему серваку.

Ответить
2

Так он и так include'ом в другие скрипты подгружается. У себя спалил такого зловреда (почти во всех index.php был встроен), через какую-то дыру в Вордпрессе просочился. А в favicon.ico, видимо, просто для отвлечения внимания.

Ответить
1

Это не для отвлечения, думаю. favicon удален или не существует или там вообще вся статика отдаётся через PHP, во всех этих случаях всё идёт через дефолтное правило реврайта через index.php, который заражен (или заражен другой подключаемый скрипт, да).

Ответить
0

У меня он был, и код был только в нём (обфусцированный), а там уж подгружался в index.php и исполнялся.
Причём этот favicon.ico был создан каким-то другим скриптом (или загружен через дыру) в папке с рандомным названием.
В общем, я особо не разбирался, что да как там произошло и чё он делает, потому что не программер, просто вычистил всё, теперь на стрёме, если вдруг опять объявится))

Ответить
0

Но это прямое следствие эксплуатации через PHP, сам майнер где угодно может размещаться, «втягивать» его на страницу будет php-скрипт злоумышленника.

Ответить

Комментарий удален

6

Наоборот, это хорошо. Как разработчики браузеров уже озаботились чрезмерно наглой рекламой, также озаботятся чрезмерно наглыми скриптами. Некоторые сайты дико напрягали еще задолго до криптовалют, когда какая-нибудь долбаная js-анимация точно также нагружала процессор и заставляла ноутбук раскаляться, а вентилятор реветь. Будет неплохо, если вскоре в настройках браузеров появятся опции вроде "ограничить активность Javascript 10% мощности процессора" или "ограничить 100% нагрузку если она длится больше 3 секунд".

Ответить
9

Пора запускать крипту favicoin...

Ответить
7

Майнер майнера.. Я когда с телефона на vc.ru захожу, он греется как утюг и аккум садит.

Ответить
–1

Все еще? Там был баг с iOS 11 и мы кажется починили, во всяком случае жалобы исчезли — у вас повторяется?

Ответить
13

Денис, возможно у тех кто жаловался, телефоны перегрелись и самоликвидировались, от того и жалобы пропали :)

Ответить
0

Последний раз было недели 2 назад. Попробую еще раз проверить

Ответить
2

Примерно тогда же по идее и починили, проверьте пожалуйста, если повториться можете прямо тут меня дернуть

Подробности, кому интересно https://dtf.ru/15033

Ответить
1

Полазил по сайту в течнии минут 20, все ок

Ответить
0

"обычно такое происходит от комментариев Спивака"
Тоже неплохо.

Скажите, а Green давно не с проектом? (Я ничего не знаю, правда, с начала 2000-ных) Странно, на http://www.dailytelefrag.com вижу другой сайт видимо старый, что-ли ...

Ответить

Комментарий удален

1

нет, не он, я отписал что было на DTF (Все наши сайты на нашей платформе работают и везде была эта проблема) https://dtf.ru/15033

Ответить
1

Периодически возникают новости о скрытом майнинге. У меня вот комп стал медленнее работать, антивирус касперский, как убедиться, что чист и спать спокойно?

Ответить
70

для начала удалить касперский

Ответить
1

Ну допустим, а что поставить?

Ответить
15

Ничего. Научится пользоваться компом и интернетом.

Ответить
1

Т.е. без антивируса пользоваться?

Ответить
18

Ох ребят, хз, я никогда антивирь не юзаю, вот честно. Ловил вирусы последний раз, когда был школьником на диалапе.

Ответить
5

откуда ты знаешь, что у тебя сейчас нет вирусов?

Ответить
2

Банально процессы чекаю. Комп работает быстро. Ничего не подгружается. Я не играю в игры акромя Овервоча да ВоВ, который гружу через официальные каналы. Рабочий ПК у меня на МакОси, там с вирусней еще проще.

Ответить
2

читал, что бывают вирусы, которые мимикрируют под системные процессы или вообще не отображаются. как с этими быть?
или с теми, которые скрываются, когда ты начинаешь чекать.

Ответить
2

Немного напоминает людей, которые при продаже машины гордо заявляют что уже 5 лет ничего с ней не делали :)

Ответить
0

Не знаю, я не спец по вирусам. Возможно и есть такие. Зависит от того, какой вред они могут нанести. В конце концов в самой системе есть какая-то защита, пусть и примитивная.

Ответить
–10

Илья, Вы сейчас шутите? Для macOS, я еще допускаю что так можно жить, а для Windows компьютера с использованием хотя бы 1-2 часа по будням - весьма проблематично.
 
Модный вред последних лет - вирусы шифраторы, например.

Ответить
9

Это похоже на шутку? Дело не Виндовс компьютерах и часах, дело в тех, кто за ними сидит. Мне кажется вы уже зомбированы этой вирусной херней, о которых на каждом шагу орет условный Касперский, сам же делая ужасные отчеты.

Я лишь пишу о своем опыте использования ПК, не более. Может кто-то и заражается постоянно. У меня вон друзей повально ломают в вк через всякие кейлоггеры и прочее говно. Один товарищ постоянно забивает комп играми с торрента и у него потом в браузере везде порнуха. Так кто виноват?

Ответить
1

Ilya, ну мне по работе за день надо открывать 50-60 документов, в том числе от неизвестных получателей. Могу сказать, что без антивируса я бы чувствовал себя очень некомфортно.
 
Я не знаю как Вы используете Ваш компьютер, но весьма рекомендую потратить 1 час на ADWCleaner + Dr. Web Cure It, а также установить актуальные обновления Windows.
 
И да, это было очень похоже на шутку.

Ответить
2

У меня лицензионная ОСь и весь рабочий софт.
Каждый должен ответить себе на один вопрос - а что он сделал для своей защиты? Откуда он берет софт? Скачал винду? Скачал сломанный фотошоп? Смешно.

А когда ломают лошар, которые скачивают сломанного касперского, я ваще ржу до слез. У нас народ в основной своей массе не умеет пользоваться компом и инетом.

Я тоже пачки писем по работе открываю, чуть поменьше чем у вас, правда, в день где-то по 15-20, иногда меньше. Пока жив, пока не взломан, комплюктер работает без проблем.

Ответить
1

Илья, это чувство безопасности, к сожалению, ложное, делайте пожалуйста хотя бы бэкап время от времени ... И мне кстати тоже пора заняться, спасибо за напоминание

Ответить
0

Такая же штука. Рас в месяц только прогоняю на Cureit ах каких-нибудь. Ну или если надо все таки скачать сомнительный файл по работе. ПО лицензионное

Ответить
0

Смелое утверждение :)
Ну, в октябре я боролся с сообщением о подгрузке потенциально опасного трафика на двух вполне легитимных сайтах - в формате "обнаружена попытка обращения к ... и предотвращена".
...
Фактически, оказалось что подгружал модуль динамической рекламы, который видимо немного взломали, а потом последствия взлома ликвидировали.

Ответить
4

Необходимость антивируса - реальность девяностых и нулевых. Уже с первой половины десятых встроенные средства и общая защищённость системы позволяют себя чуствовать вполне в безопасности, если, конечно не делать совсем идиотских действий (запускать неизвестные exe-файлы из интернета и давать им привилегии администратора, как только попросят, например).

Ответить
0

Ответ уже прозвучал выше. К сожалению, люди заражаются не то что ежедневно, а скорее ежесекундно ...
Пожалуйста поясните, какие именно "встроенные средства" Вы имеете в виду и что за "общая защищенность системы" ... скажем про JS вирусы и вызовы кода через script ... goo.gl ссылки Вы слышали?
Вот только недавно Каспер сообщил что взлом Телеграма - рассылкой "картинок" с js кодом, довольно детально и по пунктам показав что происходит на системе без антивируса ...

Ответить
1

Антивирус больше грузит систему, чем вирус ))

Ответить
0

Да. Достаточно просто не открывать приложения скачанные из интернета. Антивирус тоже не все ловит

Ответить
0

Приложения? :) Про зараженные сайты, подгружающие вредоносный JS код и дальше по полной ... Вы ведь должны были слышать? Вылезают просто в Яндекс.Картинках или Google.Images - в виде опять же предупреждения антивируса (на сайте вредный код, переход на него заблокирован).

Ответить
1

mac os поставь

Ответить
3

А кто будет работать за меня тогда?
Ждем Ваших следующих рекомендаций.

Ответить
2

майнер будет работать за тебя. от касперского))

Ответить
–1

это, конечно, была шутка.
а если серьезно, то на винде у меня стоял платный аваст. я вполне себе был им доволен.

Ответить
2

Алексей, при всем уважении, именно после Аваста/Авиры/Norton Security и т.д., Dr. Web Cure IT + ADW Cleaner стабильно находили что-нибудь веселое ... иногда и после пары перезагрузок подряд.
Дальше как правило ESET Nod32 на бесплатный месяц (меньше ресурсов ест чем Каспер) и предложение людям решать что они хотят купить (сами, вот здесь можно купить, и от провайдера можно, и подписка по телефону есть).
Каспера обычно не предлагаю, т.к. он склонен пугать людей просто от нечего делать, чтобы доказывать свою значимость.

Ответить
1

Свинью возле компьютера, эффект такой же будет.

Ответить

Комментарий удален

1

чем плох касперский?

Ответить
1

Включить компьютер, не открывая никаких программ, посмотреть запущенные процессы в диспетчере задач и погуглить онные.

Ответить
0

Проверь програмкой process haker или посмотри видео про скрытый майнер. Не реклама . Канал
Overbafer1

Ответить
3

Троллинг 80 уровня. Выбрать favicon с расширением ICO

Ответить
1

смогли успешно поместить туда код майнера

Ну, поместили и что? В любой загружаемый на страницу ресурс (файл) можно поместить всё, что угодно — хоть в favicon, хоть в фоточку, хоть ещё куда. Разве тут имеет место какой-то обход механизмов безопасности?

Ответить
1

https://goo.gl/UJcBei

лучший способ защиты от майнеров

Ответить
1

а потом этот "no coin" будет втихаря майнить ) он же все время запущен - очень удобно )

Ответить
–1
Ответить
0

Автор не прочитал каменты к твиту. Код из ico не выполняется, а в сайт встроен обычный майнер на джаваскрипт. Расходимся.

Ответить

Комментарий удален

Комментарий удален

0

Если такое возможно, то любой браузер можно отправить в корзину. Выполнить код в файле .ico

Ответить

Комментарий удален

–5

бесплатный вэб должен умереть. Информация должна стоить денег. Ибо нехуй гонять по проводам все это ненужное говно (ico, как одно из его разновидностей).

Ответить
–1

И давно, вы говорите, „вэб” (внешэкономбанк?) вам что-то должен?

Ответить
0

Подобным написанием Станислав намекает, что он подключён с тех памятных времён, когда с орфографией этого слова сообщество ещё не определилось, поэтому разбирается в предмете куда лучше остальных присутствующих.

Ответить
0

не знаю... просто на автопилоте написал ))) и да, помню еще "интернет" в терминале от гласнета (97 год, если не ошибаюсь), когда вэб был опцией меню наравне с гуфером и телнетом (кто-то знает, что это такое? ))). И, кстати, тогда существовала полная открытая база перснональных данных данных пользователей интернета (имя, е-мэйл, что-то еще, уже не очнеь помню). Т.е. типа телефонного справочника. И помню как к ней закрыли доступ из-за массового спама. И, видимо, подключение рунета было одним изключевых факторов.

Ответить
1

Гуфером? Вэб?

Станислав, то, что вы в терминале видели интернетики — не означает вашей уникальности, вовсе нет. А вот „гуферы” и „вэбы” однозначно показывают уровень осведомлённости.

Что такое телнет помнит кто угодно, потому что пользуется им каждый день.

Сейчас фидошных адресов сюда насыпем — и посмотрим, к чему приведут эти понты, мол, я в 1997 году интернеты видел.

Ответить
0

а я и не настаиваю на своей уникальности, вовсе нет. Просто делюсь впечатлениями и воспоминаниями (приятными и не очень), если вы не возр. Если вы каждый день пользуетесь телнетом, советую перейти на ssh. А на счте фидо.... не хочу вас обидеть, но когда видел как мудохается с ним мой младший брат, для которого это было о-го-го, я просто сидел, умилялся и тупо ждал выделенки. И ждать пришлось не долго ))). (а вот сейчас буду хвастаться) Мобильный интернет у меня получился в 2000 на каком-то дремучем сименсе, доставшемся от владельца бизнеса, в котором работал. Он был пи...дец какой дорогой, но убедившись, что это кул и я это ХОЧУ, вспомнил свой недавний трюк с выделенкой и тоже стал тупо ждать. Помогло. Вот и сейчас у меня такое ощущение, что вэбу в его теперешнем виде осталось не долго. Да и 5G на подходе... а там уже централизованные системы будут не так актуальны. Так что буду просто ждать....

Ответить
–1

На хрен мне ваши бестолковые и безграмотные советы? Я вам вопрос по теме задал 15 часов назад и я не уверен, что общественности интересно когда у вас появился мобильный интернет, когда провели горячую воду и когда прививки от оспы ставили.

Держите в курсе.

Выделенку дождались хоть или как лох — на домашнем изернете сидите все ещё?

Ответить
0

даже не знаю, о чем вы. Выделенка - это выделенная линия под определенный тип связи. В данном случае - сеть по протоколу arp-ip-... а медиа, которые заходят в наш дом вообще не при чем. Поясните, какие вы видете отличия в выделенке и изернете?

Ответить
0

а, ну я когда говорю вэб, то глассная звучит твердо, и что бы это подчеркнуть, я и пишу букву Э, а не Е. Простите, что задел за живое. У меня русский язык в школе хромал (((

Ответить
–1

Что ты несёшь?

Ответить
0

я ответил на вопрос?

Ответить
–1

Спасибо за интервью.

Ответить
0

не мой не ответите?

Ответить
0

Стас, до тебя просто доеблись. Вэб-хуэб, какая бля разница.

Ответить
1

блин... ну я, видимо, с некоторых пор квалифицировался в категорию "непуганные идиоты" ))) спасибо!

Ответить
0

Зря отказался от прошлой версии, что ты был идиотом и до этого. :)

Ответить
–1

Никакой, кроме того, что интернет никому ничего не должен и не может быть должен. А доебался как раз ты, потому что чуть вопроса совершенно в ином, не так ли, Станислав?

Сам не знаю зачем я отвечаю тупому автору, который не в состоянии осилить простой вопрос за несколько суток через свежераскопанного виртуала.

Ответить
0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Команда калифорнийского проекта
оказалась нейронной сетью
Подписаться на push-уведомления