Хакерская атака на сервер: майнинг Monero и уязвимость в Next.js

Недавно я столкнулся с хакерской атакой на свой сервер, в результате которой злоумышленник начал майнить Monero. В этой статье я расскажу о том, как это произошло, и какие меры я принял для предотвращения подобных атак в будущем.

Инцидент

Утром я получил письмо от Hetzner, в котором сообщалось о том, что с моего сервера была произведена атака на другой сервер. После проверки я обнаружил, что мой сервер был заражен майнинговым ПО Monero.

Расследование

Я начал расследование и обнаружил, что атака была осуществлена через уязвимость в Next.js, который используется в одном из моих контейнеров Docker. Злоумышленник смог выполнить произвольный код на моем сервере и установить майнинговое ПО.

Действия злоумышленника

Злоумышленник отправил сфабрикованный HTTP-запрос на конечную точку в коде Next.js анализатора Umami.
RSC десериализовал вредоносную полезную нагрузку.
В результате злоумышленник получил возможность удаленного выполнения кода.
Произошло скачивание и установка крипто-майнеров.

Меры по предотвращению

Чтобы предотвратить подобные атаки в будущем, я принял следующие меры:

Удалил зараженный контейнер.
Укрепил файервол.
Настроил оповещения о потреблении CPU и средней нагрузке.
Обновил Umami до последней версии.

Conclusions

Этот инцидент стал для меня хорошим опытом, и я убедился, что изоляция контейнеров работает. Кроме того, я лучше разобрался в пространствах имен Docker и границах привилегий.

Я также понял, что необходимо быть более внимательным к безопасности своих серверов и регулярно обновлять ПО.

Conclusion

В заключение хочу сказать, что безопасность серверов является очень важной темой, и необходимо принимать все меры для предотвращения хакерских атак. Надеюсь, что мой опыт будет полезен другим администраторам серверов.