React2Shell Как узнать что вас взломали? Информация из чата, будут следующие скрипты и файлы: ssh.sh sex.sh xmrig kai.tar.gz httd Какие есть способы защиты от этой уязвимости? 1. Обновитесь на следующие версии Next.js: 15.0.5 15.1.9 15.2.6 15.3.6 15.4.8 15.5.7 16.0.7 If you are on Next.js 14.3.0-canary.77 or a later canary release, downgrade to the latest stable 14.x release. 2. Обновите Node до 22 версии. Минимальная с которой доступны permissions. Выставите флаги на чтения файловой системы через ноду. --allow-net пока не позволяет сделать вайтлист апи, поэтому организуем это через докер и делаем доступ только до внутренних ресурсов, все остальные запросы во внешнюю сеть нужно блокировать. Сложно поддерживать, т.к может меняться домен или айпи. Также делаем readonly Volume и сами контейнеры докера. 3. Убираем запуск от рута в образе линукса. (да такие случаи тоже замечены, тем кому лень) Делаем профиль только на чтение и запуск server.js 4. Сносим зараженные поды, сервера, и т.п. Чистим кэши. Меняем все пароли. Смотрим чтобы не было в процессах xmrig это майнер. Применяем перед деплоем советы по безопасности. Наблюдаем. React2Shell — уязвимость React, которая позволяет исполнять через /formaction и formdata на сервере сторонний код. Сейчас в интернете находится 8.7 миллионов потенциально уязвимых инстансов, — 69% всех облачных сред используют Next.js — это каждый второй прод в облаке. upd: https://github.com/vercel-labs/fix-react2shell-next upd2: https://teletype.in/@popuguy/EmCpKM1MFbc перевод. объясняет как устроена уязвимость