Скрытый майнер нашли на сайте в файле favicon.ico Статьи редакции
Судя по всему, скрытый майнинг становится настоящей проблемой в 2018 году. Файл favicon.ico это маленькая такая иконка в пару килобайт, которая показывается у вашей вкладки браузера когда вы открываете сайт (сейчас там логотип vc.ru)
Так вот, судя по скриншотам из этого твита, злоумышленники (не знаю, можно ли их так называть, но, наверное, можно — раз делают это без спроса) смогли успешно поместить туда код майнера для криптовалюты:
На всякий случай порекомендую плагин для Chrome в стиле No Coin, который по идее поможет защитой от таких майнеров:
1
показ
20K
открытий
У меня сомнения, что это работает. Браузер не должен выполнять контент favicon как JavaScript, должен отбрасывать, а поместить туда можно что угодно, если сам сайт заражен. Судя по последней строчке в favicon, он отдаётся скриптом и заражен сам сайт на PHP и он, скорее всего, отдаёт код майнера на любой запрос к нему, скриншот Activity Monitor это подтверждает, но это не значит, что это атака через favicon — бред %)
Так он и так include'ом в другие скрипты подгружается. У себя спалил такого зловреда (почти во всех index.php был встроен), через какую-то дыру в Вордпрессе просочился. А в favicon.ico, видимо, просто для отвлечения внимания.
Это не для отвлечения, думаю. favicon удален или не существует или там вообще вся статика отдаётся через PHP, во всех этих случаях всё идёт через дефолтное правило реврайта через index.php, который заражен (или заражен другой подключаемый скрипт, да).
У меня он был, и код был только в нём (обфусцированный), а там уж подгружался в index.php и исполнялся.
Причём этот favicon.ico был создан каким-то другим скриптом (или загружен через дыру) в папке с рандомным названием.
В общем, я особо не разбирался, что да как там произошло и чё он делает, потому что не программер, просто вычистил всё, теперь на стрёме, если вдруг опять объявится))