CVE-2025-55182
周六我的两台服务器被黑客执行了恶意代码,挖门罗币,还好 nextjs 项目是用 docker 跑的,把容器停止镜像删掉就没啥大问题。
这两个服务器跑着 nextjs 的项目,用 nginx 做反代,在 cf 配置了 dns 解析,这样用域名直接访问这个服务内容。并且原服务并没有开放相关端口,只有内网能访问( nginx 反代)。
我好奇黑客是怎么扫到这服务的?
是用 fofa 这种 serch engine 搜的么?搜索的关键字是什么?全网搜网站带有 nextjs 等关键字的前端网页么?
害人之心不可有,防人之心不可无。虽然做了相关升级,但还是想知道黑客怎么发现相关服务的,有注意服务器再做好相关防护。
 |
1
aino 1 天前
 |
 |
2
ThirdFlame 1 天前
举个例子:搜索 dify 页面的 title
|
 |
3
E263AFF275EE4117 1 天前
我之前部署的一个在公网的项目,我搞了两种方式;
1. openvpn ,通过内网 ip 访问; 2. nginx 配置按地域拦截,对国外 IP 禁止访问,然后加 mtls 证书; 这样应该能避免被扫到从而暴露相关漏洞了吧,我也不确定。 反正就是能加大别人的难度,虽然自己繁琐了一点但安全了许多。 |
 |
4
xdeng 1 天前
特征扫描
|
 |
5
wanniwa 1 天前
我记得之前了解的是,那些人会把厂商的一定固定网段全部扫一遍,会扫一些通用端口。最经典的就是装了 redis 不设密码,还忘了限制访问的,100%会被黑。
|
 |
6
zhengfan2016 1 天前
nextjs 的特征还是很好识别的,只要 html 带有^/_next/的任意 css ,js 都是
 |
 |
7
freevioce 1 天前
+1 我们部署的 dify 也是被挖矿了,周末紧急修复了下,不知道怎么攻击进来的,白名单限制的是办公网
|
 |
8
itechify PRO fofa 等全网扫
|
 |
9
Esec 1 天前 via Android
几年前 cf 博客有一篇对全球不同 rst 特征研究的文章说到全球有很多每周甚至每天扫描一遍全部 ipv4 空间的探针,因为用了 znmap 还是啥有特殊的协议号才观测出来
|
 |
10
WDATM33 1 天前
用 ipv6 目前还没被扫到过
|
 |
13
CHTuring 1 天前
公网的话,搜开源项目特征,比如 title ,version 都可以。
|
 |
14
asmoker 1 天前  1
网络空间测绘,网络空间搜索引擎,佛法无边: https://fofa.info/
|
 |
15
dosmlp 1 天前
只要是 ipv4 一定会被扫,之前家宽用了 vnc 弱密码还被上传了一个恶意文件
|
 |
16
usn PRO 都学会了这也就不那么吃香了
说给黑客 |
 |
17
dddd1919 1 天前
99.9999999%靠社工学
|
 |
18
yeqizhang 1 天前 via Android
反代没做特殊处理和直接访问有啥大区别?
|
 |
19
bbbblue 1 天前
如果你在服务器上申请过 https 证书 会有个公示的网站 (你用 cf 你的服务器也得申请 用 flexible 太不安全了)
我之前一申请完 https 服务器就一堆扫描。。。。 |
 |
20
qiubo 1 天前
大多黑客都是脚本小子,服务器甚至我本机内网穿透都在扫,真的服了
|
 |
21
biuyixia 1 天前
你是不是还发视频号了?我中午看到一个说被黑了是不是你?程序员鱼皮
|
 |
23
workshop 1 天前
@E263AFF275EE4117 不能,从 80 端口扫描的,从正常服务找特征
|
 |
24
Softml 1 天前
各种扫描器呗
|
 |
25
meteora0tkvo 1 天前
应该是某个程序员意外发现的,然后在黑客论坛传开了
|
 |
26
54xavier 1 天前
各种扫,用了 fail2ban 好点儿了
 |
 |
27
sk217 1 天前
只能说你对这个产业链完全不了解,我 07 年 15 岁,在暗组 看雪那些论坛玩的时候,qq 群上已经有 12 岁就开始抓鸡的脚本小子,当年搞免杀 过驱动 灰鸽子抓鸡,都已经被人玩烂大街了,这个领域有巨量的人,且门槛极低,poc 上网一找一大把,从业人员巨多,ddos 都已经是一门生意了
|
 |
28
liyafe1997 1 天前
扫描整个 IPv4 空间的成本比你想象的要低
|
 |
29
EZG997 1 天前
说个题外话,慎用非开源的、所谓的破解版、免费版、修改版,不然很大概率会成为肉鸡。
|
|
30
E263AFF275EE4117 23 小时 43 分钟前
@workshop 卧槽,那我应该怎么搞啊!
|
 |
32
ryd994 23 小时 7 分钟前 via Android 1
@bbbblue #19 用 cf 可以从 cf 拿一个源站证书。这个证书是 cf 自己签的,不是公共 CA ,浏览器不信任,所以不用证书透明度。
cf 仅在回源的时候会信任这个证书 |
 |
33
RandomJoke 23 小时 3 分钟前
@sk217 太对了,我高中就在玩肉鸡了。。。随便学点就能入门了,那会网络安全还不被重视,免杀之类的很简单。
|
 |
34
gether1ner 23 小时 3 分钟前
可以买腾讯云主机安全产品,现在还有折扣的。我是代理商,有需要可以联系我
|
|
35
RandomJoke 23 小时 2 分钟前
你家里整个外网 IP 开放 22 端口,一天能给你扫不知道多少回
|
|
36
ryd994 23 小时 2 分钟前 via Android 1
@54xavier #26 不建议 fail2ban ,fail2ban 需要先 fail 才 ban 。人家搞个 IP 池就绕过了。
如果是 HTTP 服务器,比如 Nginx ,可以设置一个空的 default_server ,直接 return 444 。这样任何不带域名的或者域名不对的请求都会直接断开连接。 如果是用 CDN 的网站,那直接配置防火墙屏蔽非 CDN 的 IP 就行。 如果是挂 cloudflare ,推荐 cf tunnel ,不需要开任何入站端口。我在 azure 上的 VPS 就直接没买公网 IP ,省了 IP 费用。出站连接有免费的出口 IP 可以用。 |
 |
37
bsder 23 小时 1 分钟前
cloudfalre 好像说部署了拦截这个 cve 的 waf rule 啊? 还能被黑?
|
|
38
sk217 21 小时 37 分钟前
@RandomJoke #33 是的,除了二进制的 poc 要搞加密解密,套了几层虚拟机,别的脚本类 web 仔 基本上没啥门槛,都是拿现成的工具 改改,直接抓鸡
|
 |
39
frankies 20 小时 4 分钟前
都不用自己扫,fofa 、钟馗之眼这些数据库天天扫全网,自动筛选出来定向爆破就行了
|
 |
41
OHYOLO 16 小时 48 分钟前
不是你这个头像...哈哈哈
|
 |
42
edisonwong 5 小时 13 分钟前
以前有个钟馗之眼,随便找个 ip 进去都能试试看到别人家的监控...
|
 |
43
whileFalse 4 小时 57 分钟前
全网 IPv4 只有 40 亿个而已。
|
Select Language