Мобильная версияДаже после нескольких переустановок ОС и полного усиления безопасности остается вредоносный файл криптомайнинга (
Код: Выделить всё
xmrigКод: Выделить всё
kalВот график и то, что я сделал на данный момент:
1. Чистая переустановка и меры безопасности
После первого обнаружения xmrig я полностью переустановил ОС на VPS и сделал следующее:
- Отключил root-вход по SSH
- Создал нового пользователя с привилегиями sudo
- Отключена аутентификация по паролю (только ключи SSH)
- Изменен порт SSH
- Включен брандмауэр UFW (только 80, 443 и мой SSH-порт открыт)
- Включен брандмауэр панели Hostinger (только 80, 443, порт SSH открыт)
- Установлен Fail2Ban
- Установлен Node.js через NVM
- Установлен свежий Nginx + Certbot
- Повторно развернул интерфейсное приложение Next.js.
- Запустил его с PM2, используя файл экосистемы.config.js.
- На сайте показано 502 Bad Gateway
- , kal и next.tar.gz внезапно появляются в папке моего проекта
Код: Выделить всё
xmrig - Журналы PM2 начинают ссылаться на xmrig
- Скачки процессора
- Hostinger в конечном итоге приостанавливает работу VPS
2. Проверены распространенные векторы атак
Я убедился, что:
- Никакие порты, такие как 3000, 3001, 3003 и т. д., не открыты
- показывает только порт 80, 443 и мой SSH-порт открыт.
Код: Выделить всё
ss -tulpn - Нет подозрительных заданий cron.
- Нет необычных системных служб.
- Нет процессов PM2, кроме моего приложения.
- Нет вредоносных скриптов. package.json
- Нет постустановочных сценариев
- Нет подозрительных команд в экосистеме.config.js
- Папка проекта, клонированная из GitHub, не изначально содержит xmrig или next.tar.gz — они появляются только после развертывания и запуска жить
Мой проект включает в себя несколько маршрутов API в Next.js (
Код: Выделить всё
app/api/.../route.js- Контактная форма с использованием Google reCAPTCHA (я по ошибке указал NEXT_PUBLIC_RECAPTCHA_SECRET_KEY)
- API заявления о приеме на работу, который принимает загрузку файлов (CV/PDF) с помощью formData()
- Маршрут, который считывает PDF-файлы с диска и отправляет их через AWS SES.
- Маршрут, который считывает загруженные резюме из общедоступных/загрузок и обслуживает их.
Однако я НЕ выполняю сознательно загруженные файлы или запускайте команды оболочки.
4. Основные симптомы
- Атака происходит только после запуска сайта
- Файлы (, kal, next.tar.gz) появляются в каталоге моего развернутого проекта.
Код: Выделить всё
xmrig - Происходит даже при новой переустановке ОС.
- Происходит не сразу — только через ~20–30 минут.
- Поведение автоматизированного бота активность
- Сервер подвергается риску, хотя порты узла не являются общедоступными
Учитывая, что:
- сервер чистый после переустановки ОС
- SSH усилен
- все порты, кроме 80/443 заблокированы
- подозрительных скриптов нет в репозитории
- xmrig появляется только после запуска приложения
- моё приложение включает маршруты загрузки файлов
Какие еще векторы атак мне следует проверить внутри приложения Next.js, которое может допускать произвольную запись или выполнение файлов на сервере, даже если сам сервер защищен?
Будем очень признательны за любые рекомендации о том, как определить точное слабое место в моем приложении.
Подробнее здесь: https://stackoverflow.com/questions/798 ... irewall-ha
