Script automatique de détection et suppression des malware installés via la vulnérabilité critique NextJS (Next.js RCE - CVSS 10.0/10).
Permet l'exécution de code arbitraire sur les serveurs Next.js 15.x/16.x via React Server Components.
Versions vulnérables:
- Next.js 15.0.0 → 15.5.6
- Next.js 16.0.0 → 16.0.6
Exploité activement par des groupes APT chinois (Earth Lamia, Jackpot Panda) depuis le 4 décembre 2025.
Le script détecte et supprime:
- Cryptominers: XMRig, Kinsing
- Rootkits: LD_PRELOAD (libsystem.so)
- Backdoors SSH: Users UID=0, clés publiques malveillantes
- Services systemd: bot.service, rondo.service, rsyslo.service, etc.
- Persistance: Cron malveillants, rc.local, init.d scripts
- HugePages: Allocation RAM forcée (2-4Gi volés)
# Télécharger
wget https://raw.githubusercontent.com/xMazaki/vps-nextjs-malware-cleaner/refs/heads/main/scan-and-clean.sh
# Rendre exécutable
chmod +x scan-and-clean.sh
# Lancer
sudo ./scan-and-clean.sh# Scan uniquement (ne supprime rien)
sudo ./scan-and-clean.sh --scan-only
# Nettoyage automatique (sans confirmation)
sudo ./scan-and-clean.sh --clean
# Mode interactif (demande confirmation avant nettoyage)
sudo ./scan-and-clean.sh- UPDATE Next.js immédiatement:
npm install next@15.5.7
npm run build
pm2 restart all- Vérifier clés SSH:
cat /root/.ssh/authorized_keys- Supprimer users malveillants:
awk -F: '$3==0 && $1!="root" {print $1}' /etc/passwd
userdel -r [username]-
Changer TOUS les mots de passe (root, MySQL, APIs)
-
REBOOT obligatoire (libère HugePages)
-
Installer fail2ban:
apt install fail2ban- 16.0.7+
- 15.5.7+
- 15.4.8+
- 15.3.6+
- 15.2.6+
- 15.1.9+
- 15.0.5+
- Nécessite root (
sudo) - Backup recommandé avant exécution
- Reboot obligatoire après nettoyage (libération HugePages)
- Peut casser des apps si mal configurées
PRs bienvenues ! Ajoutez de nouveaux patterns de détection.
MIT
Stay safe. Update your shit. 🛡️