Поймал уязвимость React Server Components.
Привет всем, хотел предупредить проверить вашу версию React (RSC). Легко пролезли на сервер и установили майнер XMRig Monero, cpu на 100% загрузили, поставили backdoor.
CVE-2025-55182 — удалённое выполнение кода без аутентификации. Активная эксплуатация китайскими группами угроз в течение нескольких часов после раскрытия.
3 декабря 2025 года была раскрыта критическая уязвимость Remote Code Execution в протоколе Flight, используемом React Server Components. React2Shell позволяет атакующему выполнить произвольный код на сервере без аутентификации через отправку специально сформированного HTTP-запроса.
Проблема связана с небезопасной десериализацией данных, позволяющей атакующему внедрить и выполнить произвольный JavaScript код на сервере.
Немедленные действия
- Проверьте версию React в вашем проекте немедленно
- Обновите до безопасной версии (19.0.1, 19.1.2 или 19.2.1)
- Проверьте логи сервера на предмет подозрительной активности
- Проверьте процессы — нет ли новых пользователей или майнеров
- Измените все пароли и ключи если обнаружена компрометация
Типичные признаки майнера XMRig
- Процесс с высоким CPU: 90-100% нагрузка на ядра
- Подозрительные имена: kswapd0, systemd-journal, [kworker/0:1]
- Сетевые соединения: к адресам майнинг-пулов (порты 3333, 5555, 7777)
- Файлы в /root, /tmp или /var/tmp: исполняемые без расширения
- Скрытые процессы: начинаются с точки или пробела
- Автозапуск: через cron, systemd или rc.local
Что делать при обнаружении
1. Остановить подозрительные процессы killall -9 xmrig pkill -9 -f miner
2. Удалить созданного пользователя userdel -r suspicious_user
3. Найти и удалить майнер find / -name "*xmrig*" -exec rm -f {} \; find /tmp /var/tmp -type f -executable -delete
4. Очистить crontab crontab -r rm -f /etc/cron.d/*suspicious*
5. Удалить systemd сервисы systemctl stop suspicious.service systemctl disable suspicious.service rm /etc/systemd/system/suspicious.service
6. Проверить SSH ключи cat ~/.ssh/authorized_keys
rm ~/.ssh/authorized_keys