Когда сайт тормозит – кто-то пытается заработать!

Столкнулись с очередной проблемой безопасности сайтов. Если раньше тормоза на сервере были связанны с вирусами, которые например рассылали спам, то сегодня вирусы тихо-мирно майнят криптовалюты. Причём «подвисание» клиентского сайта еле заметно. Троян может жить долго, пока вы не начнёте замечать, что сайт стал медленнее работать.

После жалобы клиента на медленную работу сайта мы провели расследование. Согласно сигнатуре, кто-то загнал майнинговую прогу в директорию сайта. При просмотре активностей было замечено, что процессоры загружены на 100%
Процесс, который загружал, выглядел, как на картинке:

В итоге: stratum — протокол для майнинга, использовался для electrum.
Простым языком, stratum — это «помощник» для нашего майнера. Он берет на себя часть работы, получает новые задания и информацию по новым блокам, отправляет найденные шары, тем самым не отвлекая майнер от основной задачи — поиска шар.

Кошелек Electrum относится к, так называемым, тонким клиентам. Кошелёк не требует загрузки на компьютер всей цепочки блоков (базы данных всех транзакций системы). Необходимые данные берутся на сторонних серверах автоматически. Это противоречит сущности пиринговой системы, это чуть менее безопасно, но обладает и значительным плюсом — малым расходом ресурсов. Поставил и сразу работай.

Майнер запускался из папки bitrix/modules/photogallery/install файлом с благозвучным именем nrt2xf4zw2v4niqy

Рекомендации для администраторов

• Не хранить сайты под одним юзером и группой, для предотвращения перемещения вируса между сайтами клиента.
• Смотреть на подозрительные файлы, в данном случае они все лежали в папке /tmp