黑客是如何找到带有漏洞的服务器?

2025 年 12 月 8 日
 ethusdt

CVE-2025-55182

周六我的两台服务器被黑客执行了恶意代码,挖门罗币,还好 nextjs 项目是用 docker 跑的,把容器停止镜像删掉就没啥大问题。

这两个服务器跑着 nextjs 的项目,用 nginx 做反代,在 cf 配置了 dns 解析,这样用域名直接访问这个服务内容。并且原服务并没有开放相关端口,只有内网能访问( nginx 反代)。

我好奇黑客是怎么扫到这服务的?

是用 fofa 这种 serch engine 搜的么?搜索的关键字是什么?全网搜网站带有 nextjs 等关键字的前端网页么?

害人之心不可有,防人之心不可无。虽然做了相关升级,但还是想知道黑客怎么发现相关服务的,有注意服务器再做好相关防护。

9017 次点击
所在节点    信息安全
44 条回复
aino
2025 年 12 月 8 日
ThirdFlame
2025 年 12 月 8 日
举个例子:搜索 dify 页面的 title
E263AFF275EE4117
2025 年 12 月 8 日
我之前部署的一个在公网的项目,我搞了两种方式;
1. openvpn ,通过内网 ip 访问;
2. nginx 配置按地域拦截,对国外 IP 禁止访问,然后加 mtls 证书;

这样应该能避免被扫到从而暴露相关漏洞了吧,我也不确定。 反正就是能加大别人的难度,虽然自己繁琐了一点但安全了许多。
46fo
2025 年 12 月 8 日
特征扫描
wanniwa
2025 年 12 月 8 日
我记得之前了解的是,那些人会把厂商的一定固定网段全部扫一遍,会扫一些通用端口。最经典的就是装了 redis 不设密码,还忘了限制访问的,100%会被黑。
zhengfan2016
2025 年 12 月 8 日
nextjs 的特征还是很好识别的,只要 html 带有^/_next/的任意 css ,js 都是
freevioce
2025 年 12 月 8 日
+1 我们部署的 dify 也是被挖矿了,周末紧急修复了下,不知道怎么攻击进来的,白名单限制的是办公网
itechify
2025 年 12 月 8 日
fofa 等全网扫
Esec
2025 年 12 月 8 日
几年前 cf 博客有一篇对全球不同 rst 特征研究的文章说到全球有很多每周甚至每天扫描一遍全部 ipv4 空间的探针,因为用了 znmap 还是啥有特殊的协议号才观测出来
WDATM33
2025 年 12 月 8 日
用 ipv6 目前还没被扫到过
ByLCY
2025 年 12 月 8 日
@freevioce react 最近的 react 漏洞 dify 也受影响,有 RCE 漏洞,需要升级最新的 fix 版本,否则一个请求就被攻陷了
somebody1
2025 年 12 月 8 日
@freevioce
有内部人员沦陷了,排查一下谁连过你们的 dify 服务器。
CHTuring
2025 年 12 月 8 日
公网的话,搜开源项目特征,比如 title ,version 都可以。
asmoker
2025 年 12 月 8 日
网络空间测绘,网络空间搜索引擎,佛法无边: https://fofa.info/
dosmlp
2025 年 12 月 8 日
只要是 ipv4 一定会被扫,之前家宽用了 vnc 弱密码还被上传了一个恶意文件
Q980q48Jgj6pRXoO
2025 年 12 月 8 日
都学会了这也就不那么吃香了
说给黑客
dddd1919
2025 年 12 月 8 日
99.9999999%靠社工学
yeqizhang
2025 年 12 月 8 日
反代没做特殊处理和直接访问有啥大区别?
bbbblue
2025 年 12 月 8 日
如果你在服务器上申请过 https 证书 会有个公示的网站 (你用 cf 你的服务器也得申请 用 flexible 太不安全了)
我之前一申请完 https 服务器就一堆扫描。。。。
qiubo
2025 年 12 月 8 日
大多黑客都是脚本小子,服务器甚至我本机内网穿透都在扫,真的服了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1177457

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX