Привет всем, хотел предупредить, проверить вашу версию React (RSC). Злоумышлинники легко пролезли на сервер и установили майнер XMRig Monero, CPU на 100% загрузили, поставили backdoor.
CVE-2025-55182 — удалённое выполнение кода без аутентификации. Активная эксплуатация китайскими группами угроз в течение нескольких часов после раскрытия.
3 декабря 2025 года была раскрыта критическая уязвимость Remote Code Execution в протоколе Flight, используемом React Server Components. React2Shell позволяет атакующему выполнить произвольный код на сервере без аутентификации через отправку специально сформированного HTTP-запроса.
Проблема связана с небезопасной десериализацией данных, позволяющей атакующему внедрить и выполнить произвольный JavaScript код на сервере.
Проверьте версию React в вашем проекте немедленно
Обновите до безопасной версии (19.0.1, 19.1.2 или 19.2.1)
Проверьте логи сервера на предмет подозрительной активности
Проверьте процессы — нет ли новых пользователей или майнеров
Измените все пароли и ключи если обнаружена компрометация
Типичные признаки майнера XMRig
Процесс с высоким CPU: 90-100% нагрузка на ядра
Подозрительные имена: kswapd0, systemd-journal, [kworker/0:1]
Сетевые соединения: к адресам майнинг-пулов (порты 3333, 5555, 7777)
Файлы в /root, /tmp или /var/tmp: исполняемые без расширения
Скрытые процессы: начинаются с точки или пробела
Автозапуск: через cron, systemd или rc.local
Что делать при обнаружении
1. Остановить подозрительные процессы killall -9 xmrig pkill -9 -f miner
2. Удалить созданного пользователя userdel -r suspicious_user
3. Найти и удалить майнер find / -name "*xmrig*" -exec rm -f {} \; find /tmp /var/tmp -type f -executable -delete
4. Очистить crontab crontab -r rm -f /etc/cron.d/*suspicious*
5. Удалить systemd сервисы systemctl stop suspicious.service systemctl disable suspicious.service rm /etc/systemd/system/suspicious.service
6. Проверить SSH ключи cat ~/.ssh/authorized_keys
удалить если есть неизвестные ключи
7. Изменить все пароли passwd root passwd your_user
