Заражение сайта скриптом BitCoin Miner (биткойн майнерами)

В настоящий момент тема майнинга крипты чрезвычайно популярна. Одни инвестируют деньги в майнинговые фермы, где “добывают” биткойны и прочие криптовалюты. Другие используют нечестные способы, паразитируя на чужих вычислительных ресурсах.

Так, например, в последние полгода мы часто сталкивались со взломанными серверами, где был запущен резидентный (фоновый) процесс miner’а agentx. Обычно сервер оказывался скомпрометирован в результате взлома учетной записи admin или root через перебор паролей. В каталоге /tmp загружался исполняемый файл agentx или perl скрипт, который запускался с определенными параметрами и работал в фоновом режиме, нагружая процессор.  

За счет мощностей взломанных VPS серверов (хоть и не особенно эффективно), но злоумышленники обогащаются, выполняя операции на распределенной сети взломанных ресурсов. В данном случае не очень высокая производительность компенсируется количеством взломанных серверов. Хотя, очевидно, что намного эффективнее было бы выполнять майнинговые операции на компьютерах посетителей сайтов.

И результат не заставил себя долго ждать. Появился майнер биткойнов, работающий на javascript. Речь о популярном coin-hive.com.

Причем сам разработчик призывает размещать код своих сайтах, чтобы выполнять ресурсоемкие операции в контексте браузера посетителей. Очевидно, что при высокой посещаемости своих сайтов можно «намайнить» электронной валюты прилично.

Киберпреступники и мошенники пошли дальше. Если раньше они зарабатывали на внедрении спам-ссылок с бирж ссылок sape, mainlink, linkfeed, trustlink и ряда других, то сейчас в код шаблонов внедряется javascript майнер coin-hive, который в фоновом режиме зарабатывает злоумышленнику криптоденьги. При этом владелец сайта даже не подозревает о взломе.

Мы уже добавили популярные майнеры в базу сканеров AI-BOLIT и сервис ReScan.Pro, рекомендуем проверить свои сайты на наличие майнера coin-hive или  других вредоносных элементов.