Motivo de suspensão ou mineração em sua VPS · Peixotim

Olá, galera do TabNews!
É minha primeira vez postando aqui, mas trago uma informação que pode ajudar bastante quem esteja passando por um problema parecido ou, pelo menos, servir como uma luz no fim do túnel.

Há alguns meses, enfrentei um problema sério na VPS da empresa onde trabalho. O consumo de recursos estava extremamente alto, constantemente batendo 99% a 100%, sendo que, pela nossa operação naquele momento, o esperado era algo em torno de até 20% no máximo.

Diante disso, comecei a investigar a causa.
A princípio, imaginei que fosse o Docker, já que utilizamos containers para rodar nossa API e o banco de dados. Ao monitorar, de fato havia um consumo relevante, mas não suficiente para justificar aquele nível absurdo de uso da VPS.

Então, decidi parar os containers, eliminar os processos e subi-los novamente. Isso trouxe uma melhora significativa, mas ainda longe do ideal.

Com o passar dos dias, percebi que o consumo voltava a subir gradativamente. Foi então que, ao acessar a VPS, notei a criação de um diretório estranho, com um nome parecido com c3x0..., algo que eu definitivamente não reconhecia. Nesse momento, ficou claro:
A VPS estava sendo usada para mineração de criptomoedas.

A partir daí, fiz tudo que estava ao meu alcance para identificar, limpar e eliminar esse malware. Após esse processo, o consumo voltou ao normal, ficando entre 10%, 20% e, ocasionalmente 30%

No entanto, chegando ao final do ano, a empresa entrou em férias coletivas. Em um dos dias, resolvi verificar o status da VPS e, novamente, o consumo estava em 100%. Como eu estava de férias e não conseguiria investigar a fundo naquele momento, optei por reiniciar a VPS e deixei para analisar melhor quando retornássemos.

Pouco antes do retorno das atividades, fui surpreendido com a suspensão da VPS.
O motivo informado foi:

Falha em um componente causada por uma vulnerabilidade no Next.js/React (CVE-2025-55182).

Eu já tinha conhecimento dessa CVE, mas acreditei de forma equivocada que não afetaria diretamente nosso ambiente de produção no estado atual do projeto.

⚠️ Recomendações finais

Quero deixar aqui uma recomendação importante para todos:

Sempre que a empresa responsável pelas tecnologias que você utiliza divulgar uma nova atualização, falha ou CVE, investigue a fundo.
Entenda:
O que aconteceu?
Qual o impacto real?
Se isso pode afetar seu ambiente de produção?

Isso pode economizar muito tempo, dor de cabeça e dinheiro, além de evitar situações críticas como a que enfrentamos.

É isso, galera.
Espero que esse relato ajude alguém que esteja passando por algo parecido. 🚀