個人開発のEC2が乗っ取られてMoneroを掘られていた話【CVE-2025-55182】｜ねころこ

はじめに「あれ、CPUクレジットがゼロになってる…？」 12月9日、AWSコンソールを開いた瞬間、血の気が引いた。t2.microインスタンスのCPUクレジットが完全に枯渇している。 うちのインスタンスは毎日夜中に再起動するのだが、再起動直後、クレジットが回復し始めた途端に一気に消費され、その後枯渇していた。 これは、私の個人開発サーバーが攻撃を受け、仮想通貨マイニングの踏み台にされていた記録です。 異変の発見最初の違和感個人開発で運用していたNext.jsアプリケーション。普段は静かに動いているはずのt2.microのCPUクレジットが何故か枯渇している。 詳しく調べてみると、 ps aux --sort=-%cpu | head -20 USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND ubuntu 2175 0.0 0.0

[remonoil]

"個人開発でも狙われる" というかAWSのIPアドレス帯が狙われる

[daishi_n]

個人だろうとグローバルIPアドレスで公開してれば狙われるのは25年以上前からだぞ。HTTPSしか開けてなくても無理やりな

[atico]

日頃からのリソース監視も重要だと気づけた。アプリ実行の権限も気にしたほうがいい。sudoが使えたということはログも消そうと思えば消せるし、プロセスも実際にある動くプロセス名と同じ名前にできたはず。

[YassLab]

"個人開発で運用していたNext.jsアプリ / 仮想通貨マイニングの踏み台にされていた / 公開から3日で攻撃が来る / 攻撃者は脆弱なサーバーを自動スキャンしている. 規模は関係ない. インターネットに公開した瞬間, 攻撃対象"

[internetkun]

「公開から3日で攻撃が来る時代である」とありますが実はそれ何十年も前からそうなんですよ。更に言うとゼロデイという言葉もありまして

[totp]

やっぱり多少割高でもサーバレスにはそれなりの利点というものがあるのだな

[t-wada]

React Server Componentsの致命的な脆弱性 CVE-2025-55182 によって個人開発サーバーが攻撃を受け、仮想通貨マイニングの踏み台にされていた記録

[dltlt]

CVE-2025-55182: React Server Components の致命的な脆弱性

[sakurai_youhei]

あるあるー。うちも自宅Jenkinsコンテナで掘られた事あったし。コンピューティングリソースの置き引き。

[vbcom]

なかなか面白かったけどcpu全部食ったらさすがに短期間でばれるんじゃないのか。ひたすらいろんなサーバーのcpuリソース食ってるのかな

[tg30yen]

>攻撃者は脆弱なサーバーを自動スキャンしている。規模は関係ない。インターネットに公開した瞬間、攻撃対象になる。

[softantenna]

CPUクレジットが異常に枯渇 → 不審なプロセス「ddd」を確認。React Server Componentsの致命的脆弱性が狙われた模様

[dollarss]

みんな言いたい放題だが…この人は有能でしょう。しかもこうして全貌を公開してくれている。感謝しかないが…

[airstation]

“CVE-2025-55182”

[napsucks]

ちなみにsyslogのポートのallowsender設定を外したら3日で「お前のポート空いてるぞ、善意で教えてやるからな」という旨のsyslogメッセージSPAMが飛んでくる（まじ

[nilab]

「私の環境は Next.js 15.4.3 + React 19.1.0。ドンピシャで脆弱だった」「攻撃者のMoneroウォレットアドレスも特定できたが、仮想通貨の匿名性により追跡は困難だ」「「VirusTotalで検出ゼロ＝安全」ではない」

[spark64]

GCPもその脆弱性の警告来てたが12/7日だったので間に合わないやつだな。『私が攻撃を受けたのは12月6日』/ この脆弱性はドでかい穴なので無理矢理でもなんでもなくフリーパスだ。

[cubick]

マイクラサーバーに仕込まれた事あるけど、リソース監視してたので異常に気付けた

[uunfo]

踏み台なの？

[mkusaka]

CVE-2025-55182でNext.js(15.4.3)/React(19.1.0)が侵害され、EC2 t2.microでMonero採掘された調査と復旧手順。

[ngsw]

AS-VULTR、よく目にするんだよな

[FreeCatWork]

ふーん、ボクの知らないところで、にゃんてこったい！ 悪者さん、捕まえてパンチだにゃ！ 💻💥🐈

[togusa5]

なんで不特定多数に開けてたの

[Goldenduck]

学習目的やお遊びで作ったまま放置とかも狙われる。本当にサービス動かすわけじゃないからセキュリティ後回しだったりハンズオン的なやつで割愛されてたりさらに危険／しかし脆弱性利用が早いな

[door-s-dev]

React2Shellの被害例

[Helfard]

怖い。

[rulir]

やはりインスタンスを作ってしまうと、長期的には何らか実行されちゃうよなぁ。サーバレスにしといた方が個人レベルは安全か。

[xsde]

EC2にインスタンスロールはついていたのかな。ついていたらそのロールでできるあらゆる操作が試みられた可能性があり、Cloudtrailも見た方がよさそう。

[Ubobibube]

異分野の人間だが、こういうことやっているのだな、と勉強になります。

[homarara]

こーゆーの犯人の国籍がだいたい決まってるの何なんだかね……。

[cinefuk]

誰もが攻撃ターゲットになり得るのだな「12月9日、AWSコンソールを開いた瞬間、血の気が引いた。t2.microインスタンスのCPUクレジットが完全に枯渇している。」

[daruyanagi]

“脆弱性情報のウォッチは必須……私が攻撃を受けたのは12月6日（3日目r）”