Serverul tău minează cripto pentru altcineva.
Și nici nu știi.

Era o zi obișnuită. Site-urile funcționau, clienții trimiteau cereri, factura de hosting era plătită. Nimic nu părea în neregulă.

Și totuși, undeva în adâncul unui server dedicat fara management, un proces discret consuma 40% din CPU. Nu era un script blocat în buclă, nu era un plugin WordPress prost scris. Era cineva, un om pe cealaltă parte a lumii, care câștiga bani din resursele altcuiva. În fiecare oră. Fără să ceară voie.

Aceasta e povestea unui tip de atac care a explodat în ultimii ani și pe care puțini proprietari de site-uri îl înțeleg cu adevărat, până când e prea târziu.

Personajul principal

Înainte să vorbim despre tehnologie, hai să vorbim despre om.

Atacatorul tipic din spatele acestor campanii nu e un hacker de film. Nu stă în întuneric cu glugă pe cap tastând furios. E mai degrabă un antreprenor cinic. Are scripturi automatizate care rulează non-stop, scanând internetul după vulnerabilități cunoscute. Când găsesc una, acționează automat. El nici măcar nu se uită la serverul tău individual, sistemul lui procesează mii de ținte simultan.

Obiectivul lui e simplu: să transforme puterea de procesare a serverului tău în bani. Fără să plătească electricitate, hardware sau bandwidth. Serverul tău face munca, el încasează.

Ce este un crypto miner și de ce îl vrea pe serverul tău

Criptomonedele ca Monero (XMR) funcționează printr-un proces numit mining. Calculatoare din întreaga lume rezolvă probleme matematice complexe în competiție, iar cel care rezolvă primul primește o recompensă în monedă digitală.

Cu cât ai mai multă putere de calcul, cu atât câștigi mai mult. Problema e că puterea de calcul costă: servere, electricitate, răcire. Soluția atacatorului e să fure puterea de calcul de la alții.

Programul preferat se numește XMRig, open-source și legitim în sine, folosit de mineri cinstiți pe propriile mașini. Atacatorii îl descarcă, îl configurează cu propriul wallet și îl rulează pe serverele compromise. Configurația tipică găsită în astfel de atacuri arată cam așa:

config.json

{
  "pools": [{
    "url": "pool-de-mining.com:80",
    "user": "WALLET_ATACATOR",
    "pass": "numele_serverului_victima"
  }],
  "cpu": {
    "threads": 4,
    "priority": 5
  }
}

Intrarea prin webshell

Dar cum ajunge minerul acolo? Povestea începe cu ceva mai mic, un fișier PHP de câțiva kilobytes, plantat discret undeva în structura site-ului.

Se numește webshell și e o ușă secretă. Un fișier care arată ca orice alt fișier PHP din site, dar care ascunde în el o interfață prin care atacatorul poate executa comenzi pe server, ca și cum ar sta în terminal direct pe mașina ta.

Cele mai sofisticate webshell-uri sunt deghizate să pară cod legitim. Am identificat exemple mascate ca fișiere de mentenanță WordPress, cu comentarii PHP impecabile, copyright WordPress Foundation, număr de versiune real:

webshell deghizat

<?php
/**
 * WordPress Recovery Mode Background Service
 * @package    WordPress
 * @since      5.1.1
 * @author     WordPress.org
 * @copyright  2025 WordPress Foundation
 */
@error_reporting(0);
@ini_set('display_errors', '0');
// cod malițios ascuns dedesubt, adesea ofuscat în base64

Primele linii sunt copiate din codul WordPress real. Cineva care scanează rapid fișierele nu vede nimic suspect. Numele fișierelor urmează un pattern deliberat, par semi-legitime, dar sufixul random e generat automat:

admin-setup-4zcstc.php
admin-setup-hyldz.php
wp-maintenance-xkqpz.php

Platformele neactualizate, ușa deschisă

Platformele ca WordPress, Magento, Joomla sau PrestaShop sunt ținte preferate nu pentru că sunt nesigure prin design, ci pentru că sunt ubiquitare și adesea abandonate din punct de vedere al actualizărilor. Un plugin neactualizat de șase luni poate fi o autostradă deschisă pentru atacatori.

Magento e un caz special. E o platformă puternică, dar complexă. Actualizările necesită mai multă atenție, migrările sunt dificile și mulți operatori de eCommerce le amână. Atacatorii au scripturi specializate care caută exclusiv instalări vulnerabile cunoscute.

De ce e atât de greu de detectat

Atacatorii moderni nu mai lasă urme evidente. Lucrează cu grijă chirurgicală pentru a rămâne invizibili.

Directorul /tmp, locul preferat

Pe Linux, /tmp e temporar, accesibil oricui și adesea exclus din scanările de securitate. Atacatorul creează un director ascuns cu punct în față, .systemd sau .cache, care nu apare în ls standard:

ls /tmp        # nu arată nimic suspect
ls -la /tmp    # arată: drwxr-xr-x 2 root root .systemd

Minerul ca serviciu de sistem

Cel mai rafinat truc văzut în practică: înregistrarea minerului ca serviciu systemd cu numele systemd-resolved, un serviciu real al Linux-ului folosit pentru rezolvarea DNS. Dacă cineva vede procesul rulând, pare complet legitim. Serviciul real e în /usr/lib/systemd/system/, cel fals pornea dintr-un binar ascuns în /tmp/.systemd/. Confuzia e deliberată.

Ce vrea cu adevărat atacatorul

Un server compromis nu e exploatat doar pentru mining. E o resursă valorificată în mai multe moduri simultan:

Mining-ul de crypto e, ironic, cel mai inofensiv scenariu, vizibil în timp prin consumul de resurse. Celelalte activități pot fi complet invizibile luni de zile.

Semne că ceva nu e în regulă

• CPU constant ridicat fără trafic mai mare sau task-uri noi
• Factura de hosting a crescut fără explicație
• Procese cu nume de sistem care rulează din /tmp sau locații ascunse
• Fișiere PHP cu nume random în directoare unde nu ar trebui să fie
• IP-ul pe blacklist-uri de email fără să fi trimis spam intenționat

Comanda care îți arată rapid situația reală:

bash

ps auxf | sort -rk 3 | head -20
# procesele sortate după consum CPU
# ceva suspect din /tmp = problemă confirmată

Cum intervine STOREWEB

Când identificăm sau suntem anunțați despre un server suspect, intervenția urmează o ordine precisă:

Ce poți face chiar acum

În loc de concluzie

Internetul e un ecosistem vast și, din păcate, cu mulți actori care caută să exploateze neglijența altora. Nu e o problemă pe care o poți ignora cu gândul că site-ul tău e mic și nimeni nu se uită la el. Roboții de scanare nu judecă importanța ta, judecă vulnerabilitatea ta.

Vestea bună e că protecția nu necesită expertiză avansată sau bugete mari. Necesită disciplină: actualizări regulate, parole serioase și puțină atenție la semnele de avertizare.

Întrebări frecvente

Ce este un webshell PHP și cum îl recunosc?

Un webshell este un fișier PHP plantat de atacatori care funcționează ca o ușă secretă pe serverul tău. Se recunoaște după nume cu caractere random (setup-xkqpz.php), prezența funcțiilor eval(), system() sau shell_exec() și linii precum @error_reporting(0) care ascund deliberat erorile.

Cum îmi dau seama că serverul meu minează crypto?

Semnele principale sunt CPU constant ridicat fără motiv aparent, facturi de hosting mai mari și procese necunoscute în /tmp sau directoare ascunse. Comanda ps auxf | sort -rk 3 | head -20 îți arată procesele sortate după consum CPU.

Magento sau WordPress neactualizat prezintă cu adevărat un risc atât de mare?

Da. Vulnerabilitățile cunoscute sunt documentate public în baze de date CVE și atacatorii au scripturi specializate care scanează internetul după instalări cu versiuni vulnerabile. O instalare neactualizată de șase luni poate fi compromisă în minute de un bot automatizat.

Ce fac urgent dacă suspectez că serverul meu e compromis?

Nu reporni serverul, repornirea poate șterge urme necesare investigației. Contactează imediat furnizorul de hosting. Dacă vrei asistență de urgență din partea STOREWEB, deschide un ticket de securitate aici. Schimbă toate parolele de pe un dispozitiv diferit față de cel potențial compromis.

Cât durează să curăț un server compromis?

Depinde de amploarea compromiterii. O intervenție tipică, oprire procese malițioase, identificarea și ștergerea webshell-urilor, audit fișiere și securizare, durează între două și opt ore. Dacă atacatorul a avut acces îndelungat sau a compromis mai multe conturi, investigația poate dura mai mult.