Скрытый майнер нашли на сайте в файле favicon.ico Статьи редакции

Скрытый майнер нашли на сайте в файле favicon.ico Статьи редакции

Судя по всему, скрытый майнинг становится настоящей проблемой в 2018 году. Файл favicon.ico это маленькая такая иконка в пару килобайт, которая показывается у вашей вкладки браузера когда вы открываете сайт (сейчас там логотип vc.ru)

Так вот, судя по скриншотам из этого твита, злоумышленники (не знаю, можно ли их так называть, но, наверное, можно — раз делают это без спроса) смогли успешно поместить туда код майнера для криптовалюты:

На всякий случай порекомендую плагин для Chrome в стиле No Coin, который по идее поможет защитой от таких майнеров:

У меня сомнения, что это работает. Браузер не должен выполнять контент favicon как JavaScript, должен отбрасывать, а поместить туда можно что угодно, если сам сайт заражен. Судя по последней строчке в favicon, он отдаётся скриптом и заражен сам сайт на PHP и он, скорее всего, отдаёт код майнера на любой запрос к нему, скриншот Activity Monitor это подтверждает, но это не значит, что это атака через favicon — бред %)

Автор просто хайпожор, выдал желаемое за действительное

Думаю надо ковырять глубже. Походу хакер зашел в ROOT и наплодил "разных" файлов по всему серваку.

Так он и так include'ом в другие скрипты подгружается. У себя спалил такого зловреда (почти во всех index.php был встроен), через какую-то дыру в Вордпрессе просочился. А в favicon.ico, видимо, просто для отвлечения внимания.

Это не для отвлечения, думаю. favicon удален или не существует или там вообще вся статика отдаётся через PHP, во всех этих случаях всё идёт через дефолтное правило реврайта через index.php, который заражен (или заражен другой подключаемый скрипт, да).

У меня он был, и код был только в нём (обфусцированный), а там уж подгружался в index.php и исполнялся. Причём этот favicon.ico был создан каким-то другим скриптом (или загружен через дыру) в папке с рандомным названием. В общем, я особо не разбирался, что да как там произошло и чё он делает, потому что не программер, просто вычистил всё, теперь на стрёме, если вдруг опять объявится))

Но это прямое следствие эксплуатации через PHP, сам майнер где угодно может размещаться, «втягивать» его на страницу будет php-скрипт злоумышленника.

Наоборот, это хорошо. Как разработчики браузеров уже озаботились чрезмерно наглой рекламой, также озаботятся чрезмерно наглыми скриптами. Некоторые сайты дико напрягали еще задолго до криптовалют, когда какая-нибудь долбаная js-анимация точно также нагружала процессор и заставляла ноутбук раскаляться, а вентилятор реветь. Будет неплохо, если вскоре в настройках браузеров появятся опции вроде "ограничить активность Javascript 10% мощности процессора" или "ограничить 100% нагрузку если она длится больше 3 секунд".

Пора запускать крипту favicoin.

Майнер майнера.. Я когда с телефона на vc.ru захожу, он греется как утюг и аккум садит.

Все еще? Там был баг с iOS 11 и мы кажется починили, во всяком случае жалобы исчезли — у вас повторяется?

Денис, возможно у тех кто жаловался, телефоны перегрелись и самоликвидировались, от того и жалобы пропали :)

Последний раз было недели 2 назад. Попробую еще раз проверить

Примерно тогда же по идее и починили, проверьте пожалуйста, если повториться можете прямо тут меня дернуть

Подробности, кому интересно https://dtf.ru/15033

Полазил по сайту в течнии минут 20, все ок

"обычно такое происходит от комментариев Спивака" Тоже неплохо.

Скажите, а Green давно не с проектом? (Я ничего не знаю, правда, с начала 2000-ных) Странно, на http://www.dailytelefrag.com вижу другой сайт видимо старый, что-ли .

нет, не он, я отписал что было на DTF (Все наши сайты на нашей платформе работают и везде была эта проблема) https://dtf.ru/15033

Периодически возникают новости о скрытом майнинге. У меня вот комп стал медленнее работать, антивирус касперский, как убедиться, что чист и спать спокойно?

для начала удалить касперский

Ну допустим, а что поставить?

Ничего. Научится пользоваться компом и интернетом.

Т.е. без антивируса пользоваться?

Ох ребят, хз, я никогда антивирь не юзаю, вот честно. Ловил вирусы последний раз, когда был школьником на диалапе.

откуда ты знаешь, что у тебя сейчас нет вирусов?

Банально процессы чекаю. Комп работает быстро. Ничего не подгружается. Я не играю в игры акромя Овервоча да ВоВ, который гружу через официальные каналы. Рабочий ПК у меня на МакОси, там с вирусней еще проще.

читал, что бывают вирусы, которые мимикрируют под системные процессы или вообще не отображаются. как с этими быть? или с теми, которые скрываются, когда ты начинаешь чекать.

Немного напоминает людей, которые при продаже машины гордо заявляют что уже 5 лет ничего с ней не делали :)

Не знаю, я не спец по вирусам. Возможно и есть такие. Зависит от того, какой вред они могут нанести. В конце концов в самой системе есть какая-то защита, пусть и примитивная.

Илья, Вы сейчас шутите? Для macOS, я еще допускаю что так можно жить, а для Windows компьютера с использованием хотя бы 1-2 часа по будням - весьма проблематично.

Модный вред последних лет - вирусы шифраторы, например.

Это похоже на шутку? Дело не Виндовс компьютерах и часах, дело в тех, кто за ними сидит. Мне кажется вы уже зомбированы этой вирусной херней, о которых на каждом шагу орет условный Касперский, сам же делая ужасные отчеты.

Я лишь пишу о своем опыте использования ПК, не более. Может кто-то и заражается постоянно. У меня вон друзей повально ломают в вк через всякие кейлоггеры и прочее говно. Один товарищ постоянно забивает комп играми с торрента и у него потом в браузере везде порнуха. Так кто виноват?

Ilya, ну мне по работе за день надо открывать 50-60 документов, в том числе от неизвестных получателей. Могу сказать, что без антивируса я бы чувствовал себя очень некомфортно.

Я не знаю как Вы используете Ваш компьютер, но весьма рекомендую потратить 1 час на ADWCleaner + Dr. Web Cure It, а также установить актуальные обновления Windows.

И да, это было очень похоже на шутку.

У меня лицензионная ОСь и весь рабочий софт. Каждый должен ответить себе на один вопрос - а что он сделал для своей защиты? Откуда он берет софт? Скачал винду? Скачал сломанный фотошоп? Смешно.

А когда ломают лошар, которые скачивают сломанного касперского, я ваще ржу до слез. У нас народ в основной своей массе не умеет пользоваться компом и инетом.

Я тоже пачки писем по работе открываю, чуть поменьше чем у вас, правда, в день где-то по 15-20, иногда меньше. Пока жив, пока не взломан, комплюктер работает без проблем.

Илья, это чувство безопасности, к сожалению, ложное, делайте пожалуйста хотя бы бэкап время от времени . И мне кстати тоже пора заняться, спасибо за напоминание

Такая же штука. Рас в месяц только прогоняю на Cureit ах каких-нибудь. Ну или если надо все таки скачать сомнительный файл по работе. ПО лицензионное

Смелое утверждение :) Ну, в октябре я боролся с сообщением о подгрузке потенциально опасного трафика на двух вполне легитимных сайтах - в формате "обнаружена попытка обращения к . и предотвращена". . Фактически, оказалось что подгружал модуль динамической рекламы, который видимо немного взломали, а потом последствия взлома ликвидировали.

Необходимость антивируса - реальность девяностых и нулевых. Уже с первой половины десятых встроенные средства и общая защищённость системы позволяют себя чуствовать вполне в безопасности, если, конечно не делать совсем идиотских действий (запускать неизвестные exe-файлы из интернета и давать им привилегии администратора, как только попросят, например).

Ответ уже прозвучал выше. К сожалению, люди заражаются не то что ежедневно, а скорее ежесекундно . Пожалуйста поясните, какие именно "встроенные средства" Вы имеете в виду и что за "общая защищенность системы" . скажем про JS вирусы и вызовы кода через script . goo.gl ссылки Вы слышали? Вот только недавно Каспер сообщил что взлом Телеграма - рассылкой "картинок" с js кодом, довольно детально и по пунктам показав что происходит на системе без антивируса .

Антивирус больше грузит систему, чем вирус ))

Да. Достаточно просто не открывать приложения скачанные из интернета. Антивирус тоже не все ловит

Приложения? :) Про зараженные сайты, подгружающие вредоносный JS код и дальше по полной . Вы ведь должны были слышать? Вылезают просто в Яндекс.Картинках или Google.Images - в виде опять же предупреждения антивируса (на сайте вредный код, переход на него заблокирован).

А кто будет работать за меня тогда? Ждем Ваших следующих рекомендаций.

майнер будет работать за тебя. от касперского))

это, конечно, была шутка. а если серьезно, то на винде у меня стоял платный аваст. я вполне себе был им доволен.

Алексей, при всем уважении, именно после Аваста/Авиры/Norton Security и т.д., Dr. Web Cure IT + ADW Cleaner стабильно находили что-нибудь веселое . иногда и после пары перезагрузок подряд. Дальше как правило ESET Nod32 на бесплатный месяц (меньше ресурсов ест чем Каспер) и предложение людям решать что они хотят купить (сами, вот здесь можно купить, и от провайдера можно, и подписка по телефону есть). Каспера обычно не предлагаю, т.к. он склонен пугать людей просто от нечего делать, чтобы доказывать свою значимость.

Свинью возле компьютера, эффект такой же будет.

чем плох касперский?

Включить компьютер, не открывая никаких программ, посмотреть запущенные процессы в диспетчере задач и погуглить онные.

Проверь програмкой process haker или посмотри видео про скрытый майнер. Не реклама . Канал Overbafer1

Троллинг 80 уровня. Выбрать favicon с расширением ICO

смогли успешно поместить туда код майнера Ну, поместили и что? В любой загружаемый на страницу ресурс (файл) можно поместить всё, что угодно — хоть в favicon, хоть в фоточку, хоть ещё куда. Разве тут имеет место какой-то обход механизмов безопасности?

лучший способ защиты от майнеров

а потом этот "no coin" будет втихаря майнить ) он же все время запущен - очень удобно )

Автор не прочитал каменты к твиту. Код из ico не выполняется, а в сайт встроен обычный майнер на джаваскрипт. Расходимся.

Если такое возможно, то любой браузер можно отправить в корзину. Выполнить код в файле .ico

бесплатный вэб должен умереть. Информация должна стоить денег. Ибо нехуй гонять по проводам все это ненужное говно (ico, как одно из его разновидностей).

И давно, вы говорите, „вэб” (внешэкономбанк?) вам что-то должен?

Подобным написанием Станислав намекает, что он подключён с тех памятных времён, когда с орфографией этого слова сообщество ещё не определилось, поэтому разбирается в предмете куда лучше остальных присутствующих.

не знаю. просто на автопилоте написал ))) и да, помню еще "интернет" в терминале от гласнета (97 год, если не ошибаюсь), когда вэб был опцией меню наравне с гуфером и телнетом (кто-то знает, что это такое? ))). И, кстати, тогда существовала полная открытая база перснональных данных данных пользователей интернета (имя, е-мэйл, что-то еще, уже не очнеь помню). Т.е. типа телефонного справочника. И помню как к ней закрыли доступ из-за массового спама. И, видимо, подключение рунета было одним изключевых факторов.

Станислав, то, что вы в терминале видели интернетики — не означает вашей уникальности, вовсе нет. А вот „гуферы” и „вэбы” однозначно показывают уровень осведомлённости.

Что такое телнет помнит кто угодно, потому что пользуется им каждый день.

Сейчас фидошных адресов сюда насыпем — и посмотрим, к чему приведут эти понты, мол, я в 1997 году интернеты видел.

а я и не настаиваю на своей уникальности, вовсе нет. Просто делюсь впечатлениями и воспоминаниями (приятными и не очень), если вы не возр. Если вы каждый день пользуетесь телнетом, советую перейти на ssh. А на счте фидо. не хочу вас обидеть, но когда видел как мудохается с ним мой младший брат, для которого это было о-го-го, я просто сидел, умилялся и тупо ждал выделенки. И ждать пришлось не долго ))). (а вот сейчас буду хвастаться) Мобильный интернет у меня получился в 2000 на каком-то дремучем сименсе, доставшемся от владельца бизнеса, в котором работал. Он был пи. дец какой дорогой, но убедившись, что это кул и я это ХОЧУ, вспомнил свой недавний трюк с выделенкой и тоже стал тупо ждать. Помогло. Вот и сейчас у меня такое ощущение, что вэбу в его теперешнем виде осталось не долго. Да и 5G на подходе. а там уже централизованные системы будут не так актуальны. Так что буду просто ждать.

На хрен мне ваши бестолковые и безграмотные советы? Я вам вопрос по теме задал 15 часов назад и я не уверен, что общественности интересно когда у вас появился мобильный интернет, когда провели горячую воду и когда прививки от оспы ставили.

Держите в курсе.

Выделенку дождались хоть или как лох — на домашнем изернете сидите все ещё?

даже не знаю, о чем вы. Выделенка - это выделенная линия под определенный тип связи. В данном случае - сеть по протоколу arp-ip-. а медиа, которые заходят в наш дом вообще не при чем. Поясните, какие вы видете отличия в выделенке и изернете?

📎📎📎📎📎📎📎📎📎📎