Как найти бинарники майнера XMRig
Ищем явные следы XMRig по файловой системе
Запустите поиск по имени xmrig и похожим строкам, включая вложенные каталоги и временные папки.
Примеры базовых команд:
find / -name "*xmrig*" -type f 2>/dev/null
find /tmp /var/tmp -type f -executable 2>/dev/null
Проверяем типичные точки установки
В кейсах по CVE‑2025‑55182 майнер часто оказывался рядом с проектом или в временных каталогах.
Обязательно вручную просмотрите:
корень проекта (папка Next.js/Node.js) и рядом лежащие файлы (sex.sh, kal.tar.gz, странные .sh/.tar.gz и т.п.);
домашние директории пользователей (/home/*, /root);
/tmp, /var/tmp, /var/run, где часто лежат безымянные или «системно» названные бинарники.
Сопоставляем с процессами и открытыми файлами
Если процесс вы уже видите в top/htop, нужно понять, откуда он запущен.
Полезные команды:
ls -l /proc/<PID>/exe — покажет реальный путь до исполняемого файла;
cat /proc/<PID>/cmdline — параметры запуска (там часто виден пул, кошелёк или config.json);
Так можно выйти на бинарник, даже если он переименован в kswapd0, systemd-journal, a1b2c3, и пр.
Отлавливаем обфускацию и маскировку
В реальных взломах по React2Shell майнеры:
переименовывали бинарник под системные процессы (kswapd0, kworker, systemd-journal),
складывали его в «левые» каталоги и запускали через скрипты sex.sh, health.sh и т.п.,
упаковывали в архивы вроде kal.tar.gz, которые при распаковке создавали папку xmrig-<версия> и бинарник внутри.
Всё, что выглядит не как ваш деплой, лучше считать подозрительным и разбирать отдельно.
Ищем конфиги и вспомогательные файлы майнера
Вместе с бинарником почти всегда лежат конфигурации и скрипты автозапуска.
Обратите внимание на:
config.json рядом с бинарником (настройки пула, кошелька, количества потоков);
shell‑скрипты, качающие что‑то с GitHub/неизвестных URL и сразу запускающие (curl | bash, wget ... && chmod +x && ./имя);
unit‑файлы systemd с рандомными hex‑названиями, указывающими на тот же бинарник.
После обнаружения — не просто удалить файл
Недостаточно удалить найденный xmrig и скрипты: нужно ещё убрать все точки автозапуска (cron, systemd, .bashrc, .profile и т.д.) и заново переиспользовать/пересоздать окружение.
В кейсах с Next.js‑эксплойтом люди в итоге либо поднимали чистый сервер и деплоили из репозитория, либо полностью пересобирали контейнеры с нуля.
