Livewire Zəifliyi Serverlərimizdə Kripto Mayninqinə Necə Səbəb Oldu

Keçən həftə performans problemi kimi başlayan və kriptovalyuta mayninqi araşdırmasına çevrilən bir təhlükəsizlik insidenti yaşadıq. Baş verənləri və Livewire-i prodakşında işlədirsinizsə bilməli olduqlarınızı sizinlə bölüşürəm.

İlkin Əlamətlər

Səhifələr yavaş yüklənirdi və Livewire komponentləri gecikməli işləyirdi. İlkin araşdırmamız son deployment ilə eyni vaxta düşən və server resurslarını istehlak edən gözləyən PHP-FPM proseslərinə işarə etdi. Prosesləri dayandırdıq və hər şey normala qayıtmış kimi göründü.

Yaxud elə düşündük.

Əsl Problem Ortaya Çıxır

Bir neçə saat ərzində server yenidən yavaşladı. CPU istifadəsi saat 13:00 ilə 13:30 arasında demək olar ki, 100%-ə çatdı. Bu dəfə daha dərin araşdırma daha pis bir şey üzə çıxardı—serverdə işləyən şübhəli bir proses:

apps 376184 547 13.9 4658672 4581484 ? Sl 12:46 268:46 \_ /var/www/apps/website/releases/1768928757/storage/stmept --url pool.supportxmr.com:3333 --user 8556M2fMqE8Dg1U3pERP9rJ64jaa6MMha5SY5ovWQ7XiYjxdKquPQ7Z4afpEeXUtfJVBLGvLncGxtKMugv61S9nFGMHNAFK --pass next --donate-level 0

Sayt sındırılmışdı. Monero kriptovalyuta mayninqi üçün zərərli fayllar yerləşdirilmişdi.

Zərərli Proqram Arsenalı

Tətbiq boyu səpələnmiş çoxsaylı zərərli fayllar aşkar etdik:

Storage qovluğunda:

  • gd.py
  • guard.sh
  • stmept
  • wp-admin.php

Public qovluğunda:

  • 339a36afe37df27417e6c26b684845d4.lock
  • Çoxsaylı şübhəli PHP faylları: 4hpce7mz.php, 9hb1pmgk.php, klhrqd7x.php, wp-admin.php

Ən davamlısı stmept binary faylı idi—hətta təzə deployment-lərdən sonra belə silindikdən bir dəqiqə ərzində yenidən peyda olurdu.

Bir Həftə Əvvəl

Geriyə baxanda xəbərdarlıq əlamətləri var idi. Bir həftə əvvəl digər kontent vebsaytlarımız uzaqdan icra olunan fayl inyeksiyası ilə hack edilmişdi. Təmizlədik və fayllar geri qayıtmadı. Bunu yalnız ona görə fərq etdik ki, hücumçular index.php faylını silmişdilər və sayt boş qalmışdı. O vaxt giriş nöqtəsini müəyyən edə bilmədik.

Araşdırma

Hostinq provayderimizdə işləyərək hər şeyi sınadıq:

  • Koddakı request validator-ları dəyişdirdik
  • Bütün quraşdırılmış paketləri nəzərdən keçirdik
  • Backdoor-lar axtarmaq üçün AI agentlərindən istifadə etdik
  • Prosesləri dayandırdıq və təzə release-lər deploy etdik

Heç nə işə yaramadı. Zərərli proqram geri qayıtmağa davam edirdi.

Sonra Google axtarışı bizi eyni ssenarini təsvir edən bu məqaləyə apardı.

Əsas Səbəb: CVE-2025-54068

Günahkar CVE-2025-54068 idi—2025-ci ilin aprelində açıqlanan və 4.0-dan əvvəlki Livewire versiyalarını təsir edən uzaqdan kod icrası zəifliyi. Bu zəiflik hücumçulara sadəcə səhv formatlı sorğular göndərərək serverinizdə ixtiyari əmrlər icra etməyə imkan verir.

Biz bir neçə layihədə Livewire 3.5 istifadə edirdik.

Hamısı həssas idi.

Həll

Bütün layihələri composer update vasitəsilə Livewire 4.0-a yenilədik. Yeniləmədən sonra zərərli proqram geri qayıtmadı və server performansı stabil oldu.

Öyrənilən Dərslər

  1. Dərhal yeniləyin: Əgər 4.0-dan köhnə hər hansı Livewire versiyası istifadə edirsinizsə, indi yeniləyin. Bu kritik uzaqdan kod icrası zəifliyidir.

  2. Qeyri-adi prosesləri izləyin: Müntəzəm server monitorinqi kriptovalyuta mayninqini daha erkən aşkar edə bilərdi.

  3. Əlaqəli insidentlərə laqeyd yanaşmayın: Əvvəlki həftənin hack-i tam araşdırmadığımız bir xəbərdarlıq əlaməti idi.

  4. Performans problemləri təhlükəsizlik problemləri ola bilər: "Yavaş vebsayt" şikayəti kimi başlayan, əslində aktiv bir pozuntu idi.

Görülməli Tədbirlər

Əgər Livewire-i prodakşında istifadə edirsinizsə:

  1. Livewire versiyanızı yoxlayın: composer show livewire/livewire
  2. Əgər 4.0-dan əvvəlki hər hansı versiyadadırsınızsa, dərhal yeniləyin
  3. Storage və public qovluqlarınızda şübhəli faylları yoxlayın
  4. Qeyri-adi CPU istehlakı üçün server proseslərini nəzərdən keçirin

Əvvəlcə bloqumda dərc edilib.

Əgər bu məqalə faydalı olubsa, xahiş edirəm digər Livewire istifadəçiləri ilə paylaşın. Bu zəiflik ciddidir və geniş miqyaslı məlumatlılıq vacibdir.