Россельхоз рассылает вирусы в XSD схемах?

С 02.09.18 антивирус начал орать при закачке XSD схем с адреса http://api.vetrf.ru/schema/platform/services/2.0-last/
Говорит там некий JS/CoinMiner.BF троянчик

Что, своих 80 серверов для майнинга уже не хватает? Решили компы юзеров Меркурия заразить?

может для этого и создавалась системка

Майнить ЭВСД

Замечательное содержимое файлика Dictionary_v2
Служба поддержки что-то не торопится исправлять косяки

Garland wrote:Замечательное содержимое файлика Dictionary_v2
Служба поддержки что-то не торопится исправлять косяки

Проверьте свое ПО, чем качаете схемы, попробуйте скачать другим клиентом. И ждем ваш пост с результатами проверки.

Загрузка ведется средствами 1С 8.3 через HTTP соединение на адрес "api.vetrf.ru", с указанием логина и пароля
Обращаюсь по ссылке http://api.vetrf.ru/schema/platform/services/2.0-last/ams-mercury-g2b.service_v2.0_production.wsdl
Из этой ссылки получаю все необходимое

В ответ со вчерашнего дня приходят ошибки двух типов (до этого таких проблем не было):
1) Ошибка при вызове конструктора (WSОпределения) по причине:
При создании описания сервиса произошла ошибка. URL сервиса: http://api.vetrf.ru/schema/platform/services/2.0-last/ams-mercury-g2b.service_v2.0_production.wsdl
Код ответа сервера: 403
2) Ошибка при вызове конструктора (WSОпределения) по причине:
Ошибка импорта схемы
по причине:
Ошибка доступа к файлу 'http://api.vetrf.ru/schema/platform/services/2.0-last/dictionary_v2.0.xsd'
по причине:
Ошибка работы с Интернет: Failure when receiving data from the peer

Вторая ошибка связана в первую очередь с тем, что этот файл блокируется антивирусом.
Последняя ошибка подобного рода была только что в 14.02 03.09.18
Чуть выше по тексту есть ответ вашего сервера на http://api.vetrf.ru/schema/platform/services/2.0-last/dictionary_v2.0.xsd
Там приходит ссылка на вредоносный JS.
У меня есть закешированные файлы с XSD схемами от 17.08.18 и размер dictionary_v2.0.xsd там 44kb, но никак не 577 байт, которые блокирует антивирусник.

У нас хранится и от нас уходит чистая схема. Ищите причину у себя: попробуйте другой клиент, другой комп, другую сеть (прокси, роутер). Вот тут, например, говорят, что роутеры MikroTik подвержены заражению (https://forum.eset.com/topic/16584-jscoinminerbf-keeps-poping-up/). У вас не MikroTik?

Спасибо за совет.
Переключили канал на запасного провайдера, оборудование Cisco. Запросы отправляли с того же компьютера.
MikroTik, который у нас на входе, проверили - он чистый.
Уже 30 минут, как ошибок не было. Есть большая вероятность что проблема не повторится.

Нам теперь того провайдера трясти? А может это где-то дальше по цепочке...
Что посоветуете нам дальше делать?

Garland wrote:Спасибо за совет.
Переключили канал на запасного провайдера, оборудование Cisco. Запросы отправляли с того же компьютера.
MikroTik, который у нас на входе, проверили - он чистый.
Уже 30 минут, как ошибок не было. Есть большая вероятность что проблема не повторится.

Нам теперь того провайдера трясти? А может это где-то дальше по цепочке...
Что посоветуете нам дальше делать?

Интересно, вирусы на уровне провайдера

Я так полагаю вам остается писать провайдеру и надеяться что он хороший поставщик услуг и решит проблему, так как дорожит репутацией

Garland, я крайне рекомендую проверить Микрик ещё раз, вирусня на нём. Инфа 100%.
Дайте подзатыльник сис.админу, он давно не обновлял прошивку
https://www.zdnet.com/article/mikrotik-routers-enslaved-in-massive-coinhive-cryptojacking-campaign/