CVE-2025-55182
周六我的两台服务器被黑客执行了恶意代码,挖门罗币,还好 nextjs 项目是用 docker 跑的,把容器停止镜像删掉就没啥大问题。
这两个服务器跑着 nextjs 的项目,用 nginx 做反代,在 cf 配置了 dns 解析,这样用域名直接访问这个服务内容。并且原服务并没有开放相关端口,只有内网能访问( nginx 反代)。
我好奇黑客是怎么扫到这服务的?
是用 fofa 这种 serch engine 搜的么?搜索的关键字是什么?全网搜网站带有 nextjs 等关键字的前端网页么?
害人之心不可有,防人之心不可无。虽然做了相关升级,但还是想知道黑客怎么发现相关服务的,有注意服务器再做好相关防护。
 | 1 aino 46 分钟前  |
 | 2 ThirdFlame 32 分钟前 举个例子:搜索 dify 页面的 title |
 | 3 E263AFF275EE4117 28 分钟前 我之前部署的一个在公网的项目,我搞了两种方式; 1. openvpn ,通过内网 ip 访问; 2. nginx 配置按地域拦截,对国外 IP 禁止访问,然后加 mtls 证书; 这样应该能避免被扫到从而暴露相关漏洞了吧,我也不确定。 反正就是能加大别人的难度,虽然自己繁琐了一点但安全了许多。 |
 | 4 xdeng 28 分钟前 特征扫描 |
 | 5 wanniwa 28 分钟前 我记得之前了解的是,那些人会把厂商的一定固定网段全部扫一遍,会扫一些通用端口。最经典的就是装了 redis 不设密码,还忘了限制访问的,100%会被黑。 |
 | 6 zhengfan2016 27 分钟前 nextjs 的特征还是很好识别的,只要 html 带有^/_next/的任意 css ,js 都是  |
 | 7 freevioce 10 分钟前 +1 我们部署的 dify 也是被挖矿了,周末紧急修复了下,不知道怎么攻击进来的,白名单限制的是办公网 |
 | 8 itechify PRO fofa 等全网扫 |
Select Language