警钟长鸣
- 再老的服务器、再小的项目、哪怕早就没人用,只要暴露在公网,就得做好防护准备。
- 资产清单一定要做全,做不到全就上自动化扫描,别靠记忆。
事情缘由
这台 AWS 服务器是我 2024 年刚来 L 站那会儿买的,上面跑了一堆早就停用的项目,我自己都快忘了。 我一直以为这上面只有一个 wiki 的 Next.js 服务,就只把 wiki 服务的 nextjs 版本更新了,没想到还有一个启动的老项目也是 Next.js 。。。
下午有佬反馈 wiki 站无法连接了,然后
我赶紧去服务器排查了一下日志,果不其然 Next.js RSC RCE(CVE-2025-55182)自动化肉鸡脚本直接给我干进来了,种了个最新版的 RondoDox 矿尸病毒,init.d + crontab 双重自启都做好了。
机器已当场 ‘处决’,所有遗留 Next.js 项目已全部升级。后续我会把 wiki 换新的服务器部署后,再上线~~~
好在:
- 除了 wiki.linux.do,这台服务器上全是已经停用的项目
- wiki 站无任何用户数据,该服务器也没有任何线上服务
时间线梳理
入侵路径: Next.js RSC 远程代码执行漏洞(CVE-2025-55182)
恶意软件: RondoDox / RondoBot / RondoMiner
| 时间 | 事件 |
|---|---|
| 2025-12-06 12:44 | Next.js RSC 端点被自动化工具成功打穿,获得 root shell |
| 2025-12-06 12:44 | 攻击者落盘恶意二进制 /etc/rondo/rondo(ARM 静态链接 Go 程序) |
| 2025-12-06 12:44 | 创建开机自启脚本 /etc/init.d/rondo + 软链接 /etc/rc3.d/S99rondo |
| 2025-12-06 12:44 | 修改系统 crontab,加入 @reboot root /etc/rondo/rondo react.armv6l.persisted |
| 2025-12-06 12:44 | 完成全部持久化,清理部分日志,进入潜伏待命状态 |
| 2025-12-06 12:52 | 依次结束了 Docker、Python、Go、Node.js 服务 |
| 2025-12-06 12:53 | 服务器中的 /home 下的所有数据被清除 |
