CVE-2025-55182
周六我的两台服务器被黑客执行了恶意代码,挖门罗币,还好 nextjs 项目是用 docker 跑的,把容器停止镜像删掉就没啥大问题。
这两个服务器跑着 nextjs 的项目,用 nginx 做反代,在 cf 配置了 dns 解析,这样用域名直接访问这个服务内容。并且原服务并没有开放相关端口,只有内网能访问( nginx 反代)。
我好奇黑客是怎么扫到这服务的?
是用 fofa 这种 serch engine 搜的么?搜索的关键字是什么?全网搜网站带有 nextjs 等关键字的前端网页么?
害人之心不可有,防人之心不可无。虽然做了相关升级,但还是想知道黑客怎么发现相关服务的,有注意服务器再做好相关防护。
 | 1 aino 6 天前  |
 | 2 ThirdFlame 6 天前 举个例子:搜索 dify 页面的 title |
 | 3 E263AFF275EE4117 6 天前 1. openvpn ,通过内网 ip 访问;2. nginx 配置按地域拦截,对国外 IP 禁止访问,然后加 mtls 证书; 这样应该能避免被扫到从而暴露相关漏洞了吧,我也不确定。 反正就是能加大别人的难度,虽然自己繁琐了一点但安全了许多。 |
 | 4 xdeng 6 天前 特征扫描 |
 | 5 wanniwa 6 天前 我记得之前了解的是,那些人会把厂商的一定固定网段全部扫一遍,会扫一些通用端口。最经典的就是装了 redis 不设密码,还忘了限制访问的,100%会被黑。 |
 | 6 zhengfan2016 6 天前 nextjs 的特征还是很好识别的,只要 html 带有^/_next/的任意 css ,js 都是  |
 | 7 freevioce 6 天前 +1 我们部署的 dify 也是被挖矿了,周末紧急修复了下,不知道怎么攻击进来的,白名单限制的是办公网 |
 | 8 itechify PRO fofa 等全网扫 |
 | 9 Esec 6 天前 via Android 几年前 cf 博客有一篇对全球不同 rst 特征研究的文章说到全球有很多每周甚至每天扫描一遍全部 ipv4 空间的探针,因为用了 znmap 还是啥有特殊的协议号才观测出来 |
 | 10 WDATM33 6 天前 用 ipv6 目前还没被扫到过 |
 | 13 CHTuring 6 天前 公网的话,搜开源项目特征,比如 title ,version 都可以。 |
 | 14 asmoker 6 天前  1 网络空间测绘,网络空间搜索引擎,佛法无边: https://fofa.info/ |
 | 15 dosmlp 6 天前 只要是 ipv4 一定会被扫,之前家宽用了 vnc 弱密码还被上传了一个恶意文件 |
 | 16 usn PRO 都学会了这也就不那么吃香了 说给黑客 |
 | 17 dddd1919 6 天前 99.9999999%靠社工学 |
 | 18 yeqizhang 6 天前 via Android 反代没做特殊处理和直接访问有啥大区别? |
19 bbbblue 6 天前 如果你在服务器上申请过 https 证书 会有个公示的网站 (你用 cf 你的服务器也得申请 用 flexible 太不安全了) 我之前一申请完 https 服务器就一堆扫描。。。。 |
 | 20 qiubo 6 天前 大多黑客都是脚本小子,服务器甚至我本机内网穿透都在扫,真的服了 |
 | 21 biuyixia 6 天前 你是不是还发视频号了?我中午看到一个说被黑了是不是你?程序员鱼皮 |
 | 23 workshop 6 天前 @E263AFF275EE4117 不能,从 80 端口扫描的,从正常服务找特征 |
 | 24 Softml 6 天前 各种扫描器呗 |
 | 25 meteora0tkvo 6 天前 应该是某个程序员意外发现的,然后在黑客论坛传开了 |
 | 26 54xavier 6 天前 各种扫,用了 fail2ban 好点儿了  |
 | 27 sk217 6 天前 只能说你对这个产业链完全不了解,我 07 年 15 岁,在暗组 看雪那些论坛玩的时候,qq 群上已经有 12 岁就开始抓鸡的脚本小子,当年搞免杀 过驱动 灰鸽子抓鸡,都已经被人玩烂大街了,这个领域有巨量的人,且门槛极低,poc 上网一找一大把,从业人员巨多,ddos 都已经是一门生意了 |
 | 28 liyafe1997 6 天前 扫描整个 IPv4 空间的成本比你想象的要低 |
 | 29 EZG997 6 天前 说个题外话,慎用非开源的、所谓的破解版、免费版、修改版,不然很大概率会成为肉鸡。 |
| 30 E263AFF275EE4117 6 天前 @workshop 卧槽,那我应该怎么搞啊! |
 | 32 ryd994 6 天前 via Android 1 @bbbblue #19 用 cf 可以从 cf 拿一个源站证书。这个证书是 cf 自己签的,不是公共 CA ,浏览器不信任,所以不用证书透明度。 cf 仅在回源的时候会信任这个证书 |
 | 33 RandomJoke 6 天前 @sk217 太对了,我高中就在玩肉鸡了。。。随便学点就能入门了,那会网络安全还不被重视,免杀之类的很简单。 |
 |
| 35 RandomJoke 6 天前 你家里整个外网 IP 开放 22 端口,一天能给你扫不知道多少回 |
| 36 ryd994 6 天前 via Android 2 @54xavier #26 不建议 fail2ban ,fail2ban 需要先 fail 才 ban 。人家搞个 IP 池就绕过了。 如果是 HTTP 服务器,比如 Nginx ,可以设置一个空的 default_server ,直接 return 444 。这样任何不带域名的或者域名不对的请求都会直接断开连接。 如果是用 CDN 的网站,那直接配置防火墙屏蔽非 CDN 的 IP 就行。 如果是挂 cloudflare ,推荐 cf tunnel ,不需要开任何入站端口。我在 azure 上的 VPS 就直接没买公网 IP ,省了 IP 费用。出站连接有免费的出口 IP 可以用。 |
 | 37 bsder 6 天前 cloudfalre 好像说部署了拦截这个 cve 的 waf rule 啊? 还能被黑? |
| 38 sk217 6 天前 @RandomJoke #33 是的,除了二进制的 poc 要搞加密解密,套了几层虚拟机,别的脚本类 web 仔 基本上没啥门槛,都是拿现成的工具 改改,直接抓鸡 |
 | 39 frankies 6 天前 都不用自己扫,fofa 、钟馗之眼这些数据库天天扫全网,自动筛选出来定向爆破就行了 |
 | 41 OHYOLO 6 天前 不是你这个头像...哈哈哈 |
 | 42 edisonwong 5 天前 以前有个钟馗之眼,随便找个 ip 进去都能试试看到别人家的监控... |
 | 43 whileFalse 5 天前 全网 IPv4 只有 40 亿个而已。 |
Select Language