CVE-2025-55182
周六我的两台服务器被黑客执行了恶意代码,挖门罗币,还好 nextjs 项目是用 docker 跑的,把容器停止镜像删掉就没啥大问题。
这两个服务器跑着 nextjs 的项目,用 nginx 做反代,在 cf 配置了 dns 解析,这样用域名直接访问这个服务内容。并且原服务并没有开放相关端口,只有内网能访问( nginx 反代)。
我好奇黑客是怎么扫到这服务的?
是用 fofa 这种 serch engine 搜的么?搜索的关键字是什么?全网搜网站带有 nextjs 等关键字的前端网页么?
害人之心不可有,防人之心不可无。虽然做了相关升级,但还是想知道黑客怎么发现相关服务的,有注意服务器再做好相关防护。
 |
1
aino 3 小时 28 分钟前
 |
 |
2
ThirdFlame 3 小时 15 分钟前
举个例子:搜索 dify 页面的 title
|
 |
3
E263AFF275EE4117 3 小时 11 分钟前
我之前部署的一个在公网的项目,我搞了两种方式;
1. openvpn ,通过内网 ip 访问; 2. nginx 配置按地域拦截,对国外 IP 禁止访问,然后加 mtls 证书; 这样应该能避免被扫到从而暴露相关漏洞了吧,我也不确定。 反正就是能加大别人的难度,虽然自己繁琐了一点但安全了许多。 |
 |
4
xdeng 3 小时 10 分钟前
特征扫描
|
 |
5
wanniwa 3 小时 10 分钟前
我记得之前了解的是,那些人会把厂商的一定固定网段全部扫一遍,会扫一些通用端口。最经典的就是装了 redis 不设密码,还忘了限制访问的,100%会被黑。
|
 |
6
zhengfan2016 3 小时 10 分钟前
nextjs 的特征还是很好识别的,只要 html 带有^/_next/的任意 css ,js 都是
 |
 |
7
freevioce 2 小时 52 分钟前
+1 我们部署的 dify 也是被挖矿了,周末紧急修复了下,不知道怎么攻击进来的,白名单限制的是办公网
|
 |
8
itechify PRO fofa 等全网扫
|
 |
9
Esec 2 小时 34 分钟前 via Android
几年前 cf 博客有一篇对全球不同 rst 特征研究的文章说到全球有很多每周甚至每天扫描一遍全部 ipv4 空间的探针,因为用了 znmap 还是啥有特殊的协议号才观测出来
|
 |
10
WDATM33 2 小时 23 分钟前
用 ipv6 目前还没被扫到过
|
 |
13
CHTuring 1 小时 23 分钟前
公网的话,搜开源项目特征,比如 title ,version 都可以。
|
 |
14
asmoker 1 小时 21 分钟前
网络空间测绘,网络空间搜索引擎,佛法无边: https://fofa.info/
|
 |
15
dosmlp 1 小时 21 分钟前
只要是 ipv4 一定会被扫,之前家宽用了 vnc 弱密码还被上传了一个恶意文件
|
 |
16
usn PRO 都学会了这也就不那么吃香了
说给黑客 |
 |
17
dddd1919 1 小时 7 分钟前
99.9999999%靠社工学
|
 |
18
yeqizhang 17 分钟前 via Android
反代没做特殊处理和直接访问有啥大区别?
|
Select Language