🥲 Утро начинается не с кофе Каждое утро у меня проходит за мониторингом всех серверов и проектов. Увидел скачек CPU на сервере, где его вообще быть не должно, захожу - а в проекте лежит загадочный файлик sex.sh с правами на выполнение. Открываю… а там скрипт на скачивание xmrig (майнер). Начал разбираться - и выяснилось, что проект как раз попал под свежую уязвимость React2Shell (CVE-2025-55182), о которой недавно сообщил Vercel и я как - то этот момент пропустил (не было вроде на 15 версии ничего). 10 из 10 по шкале оценки опасности уязвимости CVSS. Через неё можно выполнить shell-команды прямо на сервере, и боты этим активно пользуются (спасибо Meta). * На фото - кол-во уязвимых ip адресов (всего 77к, 3к в РФ и я один из них). Что сделал: - обновил Next.js до версии с патчем (npx fix-react2shell-next), - удалил скрипт и zip установщика из проекта, - пересобрал всё с нуля, - сменил секреты, окружение и пароли, - проверил cron, systemd, tmp, автозапуски и т.д. - всё подчистил. Итог Сервер жив, майнеры грустят о ресурсах моего CPU. И вам совет: Если у вас есть проекты на Next.js 15-16/React19 - срочно обновитесь. Уязвимость активно эксплуатируют китайские боты. Подробнее про уязвимость от Vercel: https://vercel.com/kb/bulletin/react2shell