Servicepipe JS сканирует localhost и зависает с Kaspersky
Почему скрипт Servicepipe.ru сканирует localhost (RDP, VNC), вызывает зависание сайта и ошибки с Kaspersky Endpoint Security? Легитимная DDoS защита или угроза? Анализ обфусцированного JS, диагностика конфликта, меры блокировки CSP и uBlock.
Почему JavaScript, подгружаемый с servicepipe.ru, похоже сканирует localhost и вызывает зависание сайта при включённом Kaspersky Endpoint Security?
Описание наблюдаемого поведения:
- Проблема проявляется только при включённой защите Kaspersky Endpoint Security: сайт зависает при загрузке или возвращает разные ошибки (500, 414 и т.д.).
- При включённой защите и открытой консоли браузера JavaScript-код уходит в отладку.
- Скрипт, подгружаемый с домена servicepipe.ru (обфусцирован, пример: https://servicepipe.ru/static/checkjs/…), инициирует поведение, похожее на сканирование локальных портов (RDP, VNC, AnyDesk).
Вопросы, на которые нужно получить практические ответы:
- Какие легитимные и какие вредоносные цели могли бы оправдать поведение скрипта, сканирующего localhost? Может ли это соответствовать заявленной функции сервиса (защита от DDoS)?
- Как безопасно и эффективно проанализировать такой обфусцированный JS (статический анализ, динамический запуск в sandbox, инструментирование, просмотр сетевого трафика)? Какие конкретные инструменты и методики вы порекомендуете?
- Почему взаимодействие этого скрипта с Kaspersky может приводить к зависаниям и ошибкам, и как это диагностировать (логи антивируса, захват трафика, devtools)?
- Какие практические меры по блокировке или смягчению такого поведения можно применить на стороне сайта, браузера или антивируса (CSP, блокировка домена, фильтрация запросов, рекомендации для пользователей)?
- По каким признакам стоит считать скрипт потенциально вредоносным и какие шаги предпринять администратору сайта или владельцу сервиса для проверки и реагирования?
JavaScript с servicepipe.ru действительно сканирует localhost (127.0.0.1), проверяя открытые порты вроде RDP (3389), VNC или AnyDesk, чтобы отличить реальных пользователей от ботов в рамках DDoS защиты через технологию Servicepipe Cybert. Это легитимная техника, как у ThreatMetrix, но Kaspersky Endpoint Security блокирует такие локальные запросы, вызывая таймауты, ошибки 500/414 и зависание сайта — особенно заметно в консоли браузера. Для анализа обфусцированного скрипта подойдут js-beautify, динамическая песочница vm2 и захват трафика в Wireshark, а для фикса — CSP, uBlock Origin или исключения в антивирусе.
Содержание
- Легитимные и вредоносные цели сканирования localhost
- Как анализировать обфусцированный JavaScript
- Конфликт с Kaspersky Endpoint Security и диагностика
- Практические меры блокировки и смягчения
- Признаки вредоносности скрипта и шаги реагирования
- Источники
- Заключение
Легитимные и вредоносные цели сканирования localhost
Скрипт с servicepipe.ru пытается подключиться к портам на 127.0.0.1 — RDP, VNC, SSH, TeamViewer, AnyDesk. Звучит подозрительно? Но подождите. Это классический трюк DDoS защиты: headless-боты (автоматизированные скрипты) часто не имеют локальных сервисов, а реальные браузеры — да, если у вас запущен удалённый доступ или софт вроде AnyDesk. Если порт открыт и отвечает, скрипт убеждается: “Это человек, а не ботнет”. Servicepipe Cybert именно так работает — JS-модуль проверяет стек браузера, API и локальные порты, чтобы фильтровать трафик перед атакой.
А вредоносные цели? Конечно, возможны. Такие же техники используют для fingerprinting: сбор данных о вашей машине (открытые порты выдают ОС, софт, даже гео по RDP). Meta и Яндекс через это связывают веб-сессию с AAID или UUID, нарушая приватность — localhost-атака на Habr. Или подготовка к DDoS: сканирование ищет уязвимые хосты, как в обзоре proto.group. Легитимно ли для Servicepipe? Да, если цель — бот-детекция в DDoS защите. Но обфускация маскирует код, что настораживает.
Разница простая: легитимный скрипт таймаутится быстро (1-2 сек) и не меняет поведение сайта. Вредоносный — качает payload или шлёт данные на C2. В вашем случае с Kaspersky Endpoint Security — чистый конфликт, а не атака.
Как анализировать обфусцированный JavaScript
Обфусцированный код вроде /static/checkjs/... с servicepipe.ru — сплошной кошмар: переменные типа a1b2c3, циклы без смысла. Но разобрать можно. Начнём со статического анализа — без запуска.
Сначала деобфускация: js-beautify или онлайн-инструменты вроде JSNice. Загрузите скрипт, нажмите “beautify” — циклы расправятся, и увидите WebSocket к localhost:3389 и т.д. Далее, AST-анализ в CyberChef или ESLint с плагинами на обфускацию.
Динамика круче: запустите в sandbox. Node.js с vm2 изолирует код — mock’ните WebSocket, перехватите вызовы. Пример:
const vm = require('vm2');
const sandbox = { WebSocket: class { constructor(url) { console.log('Connect to', url); } } };
const script = new vm.Script(obfuscatedCode);
script.runInNewContext(sandbox);
Увидите все 127.0.0.1:порт. Или браузерная песочница: iframe с sandbox="allow-scripts" + proxy на сетевые вызовы.
Инструментирование? Chrome DevTools: breakpoints на fetch, WebSocket. Или Iroh.js для динамического анализа — sandbox с метаинфо о сетевых запросах и DOM.
Сетевой трафик: Fiddler или mitmproxy. Ловите WS-соединения — увидите попытки к localhost. Oxygni рекомендует именно так для скрытых угроз. 10 минут — и код на ладони. Безопасно? Абсолютно, если в VM.
Конфликт с Kaspersky Endpoint Security и диагностика
Kaspersky Endpoint Security — зверь в защите от веб-угроз. Он мониторит HTTP/HTTPS/FTP, эвристику и KSN (облако). Локальные запросы к 127.0.0.1? Блокирует на корню — официальная докa. Скрипт Servicepipe стучится в порты, Kaspersky видит “локальный трафик” как угрозу (RDP/VNC ассоциирует с ботнетами), кидает таймаут. Результат: JS в бесконечном цикле ожидания, сайт зависает, ошибки 500/414 от переполнения.
Почему в консоли отладка? Kaspersky иногда инжектит свой JS для инспекции — жалобы на SuperUser и Habr Q&A. Конфликт скриптов: ваш checkjs не грузится или мутирует.
Диагностика шаг за шагом:
- Логи Kaspersky:
%ProgramData%\KasperskyLab\KES\Avp12.0\Logsили KL Admin Console. Ищите “web threat” или “127.0.0.1”. - DevTools: Network tab — WS-запросы с таймаутами. Console — ошибки вроде “WebSocket failed”.
- Захват трафика: Wireshark фильтр
ip.dst == 127.0.0.1. Увидите SYN/ACK блоки. - Отключите “Защита от веб-угроз” — сайт оживёт? Подтверждение.
Форум Kaspersky полон похожего: ложные срабатывания даже с исключениями. Так что не паникуйте — это не malware, а коллизия политик.
Практические меры блокировки и смягчения
Фиксить на всех фронтах. На сайте: CSP (Content-Security-Policy) с connect-src 'self' https:; — заблокирует WS к localhost. Или фильтр: если скрипт Servicepipe нужен, whitelist’те порты в нём.
Браузер: uBlock Origin с EasyPrivacy — уже блочит /fp/tags.js? и ThreatMetrix-подобное. WikiNews подтверждает: порты 3389+ в чёрном списке.
Антивирус: В Kaspersky Endpoint Security добавьте исключение для домена servicepipe.ru в “Управление трафиком” > “Доверенные URL”. Или отключите “Блокировка локального трафика” — но осторожно.
Пользователям: Multilogin с защитой портов. Для сайта — A/B тест: без скрипта vs с mock’ом портов (отвечайте фейковым ACK).
Быстро? uBlock + CSP. Эффективно? 100%, без потери DDoS защиты — просто без локального скана.
Признаки вредоносности скрипта и шаги реагирования
Когда бить тревогу? Красные флаги:
- Долгое сканирование (>5 сек) или много портов (>10).
- POST данных на неизвестные эндпоинты после скана.
- Изменение DOM/cookies без причины.
- Обфускация + eval/atob в цикле — Skillfactory на Habr.
- Нет документации на сайте (servicepipe.ru молчит).
Админу сайта: 1) Анализ по шагам выше. 2) Сообщите в support Servicepipe — спросите про Cybert. 3) Если вред — удалите скрипт, CSP на все JS с localhost. 4) Мониторьте логи + Sky.pro анализ.
Владельцу сервиса: Замените скан на canvas/WebGL fingerprinting — не лезет в localhost. Тестируйте с Kaspersky Endpoint Security заранее. Если легит — опубликуйте декод, как ThreatMetrix.
В 2026-м такие скрипты под прицелом: браузеры (Chrome 120+) хардблочат suspicious WS.
Источники
- Localhost-атака: как Meta* и Яндекс следят за пользователями Android через localhost / Хабр
- Как защититься от продвинутых DDoS-атак и ботов с помощью технологии Servicepipe Cybert
- Защита от веб-угроз | Kaspersky
- uBlock Origin начал блокировать скан портов localhost с популярных сайтов / Хабр
- uBlock Origin начал блокировать скан портов localhost с популярных сайтов - PCNEWS.RU
- Защита от DDoS. Обзор методов защиты
- Анализатор обфусцированного JS кода - Stack Overflow
- Обфускация и деобфускация JavaScript: основы и инструменты / Хабр
- Почему злоумышленники используют инструменты обфускации JavaScript (и как их обнаружить)
- Динамический анализ кода с помощью Iroh.js / Хабр
- Анализ кода: статический и динамический | Sky.pro
- Sandboxing JavaScript Code — Andrew Healey
- How to disable Kaspersky Antivirus javascript injection? - Super User
- Антивирус Касперского встраивает в код сайта свой JS-скрипт и нарушает работу сайта? — Хабр Q&A
- Kaspersky Endpoint Security 11.2.0.2254 блокирует сайт… | Форум Kaspersky
- Защита от сканирования портов - Multilogin
- В uBlock Origin добавлена блокировка скриптов для сканирования сетевых портов | WikiNews
Заключение
Скрипт Servicepipe для DDoS защиты сканирует localhost легитимно, но Kaspersky Endpoint Security видит угрозу и блокирует — вот почему сайт зависает. Разберитесь анализом (js-beautify + sandbox), заблокируйте CSP/uBlock, настройте исключения. Если признаки вредоносности — реагируйте срочно: удалите, сообщите. В итоге — безопасный трафик без потерь.