Sélectionner une page

Formation > Blog > Cybersécurité > Serveur Compromis React2Shell : Réparation et désinfection

Serveur Compromis React2Shell : Réparation et désinfection

par | Mis à jour le 12/12/2025 | Publié le 12/12/2025 | Cybersécurité, Ethical Hacking | 0 commentaires

Le 3 décembre 2025, la communauté de la cybersécurité a été secouée par la divulgation de la faille React2Shell (CVE-2025-55182), notée 10/10 niveau rarement atteints, d’autant plus pour LE composant Web le plus populaire de ces 10 dernières années. Dès le 4 décembre 2025, une vague d’exploitation massive et opportuniste a submergé les serveurs vulnérables utilisant les Composants Serveur React (RSC) et des Frameworks tels que Next.js.
Cette vulnérabilité critique a permis à des attaquants non authentifiés d’exécuter du code à distance (RCE), ouvrant la porte à l’installation de backdoors, virus, chevaux de Troie (trojans) et de mineurs de cryptomonnaie.

Si votre infrastructure a été exposée, il est impératif de la considérer comme compromise. Ce Guide de Survie Ultime a été rédigé pour vous fournir la procédure complète et les étapes précises nécessaires pour désinfecter votre machine serveur Linux, stopper l’hémorragie et, surtout, récupérer votre serveur et vos données sans avoir à tout réinstaller.

Symptômes d’une machine piraté par la faille React2Shell

Le pirate cherchera à exploiter votre serveur pour des objectifs lucratifs ou malveillants : transformer votre machine en relais pour le réseau zombie (botnet), y exécuter un mineur de cryptomonnaie (cryptojacking), ou pire, déclencher une attaque par rançongiciel (ransomware).

Attention : Ces symptômes peuvent apparaître progressivement !

Impossibilité de lister les process

Un symptôme particulièrement caractéristique réside dans le dysfonctionnement des commandes système :

  • ps, top et htop cessent de fonctionner normalement
  • l’affichage des processus s’interrompt brutalement
  • le message “Processus arrêté” apparaît sans explication

Ce comportement vise à empêcher l’observation des processus actifs et à retarder toute tentative de diagnostic.

Sauvegardes impossibles ou incohérentes

Les mécanismes de sauvegarde deviennent rapidement inexploitables :

  • tar, zip ou rsync ne terminent jamais leur exécution ou échouent
  • les sauvegardes se coupent sans message d’erreur explicite
  • aucune archive fiable ne peut être produite

L’impossibilité de réaliser des sauvegardes fiables est un risque opérationnel critique. Le danger réside dans l’effet pervers d’une sauvegarde corrompue : elle peut se faire silencieuse et ne pas alerter immédiatement l’administrateur de la compromission. Cela empêche toute restauration rapide et toute analyse post-incident hors ligne.

Corruption des bases de données

Les bases de données relationnelles, telles que MariaDB ou PostgreSQL peuvent être affectées indirectement :

  • arrêts non maîtrisés des moteurs
  • journaux de transactions endommagés
  • tables ou index corrompus

Ces effets sont souvent liés à des interruptions forcées de processus critiques ou à une instabilité prolongée du système.

Vous êtes développeur React et vous souhaitez monter en compétence ? Notre formation React avancé vous donnera les clés pour approfondir votre maîtrise et anticiper les risques liés aux composants serveur.

L’équipe Ambient IT

Diagnostiquer rapidement son serveur pour le réparer

Je vous propose ces 3 commandes dans l’ordre en espérant qu’on en tire quelque chose :

  1. Vérification des tâches utilisateur : crontab -e
  2. Vérification des tâches système : ls -la /etc/cron* /var/spool/cron
  3. Examiner les Services Suspects : systemctl list-units --type=service --state=running

STOP :

À ce stade, il faut regarder attentivement les tâches planifiée. Vous pourriez être amené à supprimer un composant du Malware Rondo et, si la situation est bloquée, à tenter un redémarrage du système.

Ce redémarrage ne doit être envisagé que si vous avez déjà supprimé un maximum d’éléments malveillants et que vous ne pouvez plus progresser sans repartir d’un état plus stable.

Pour identifier d’éventuels processus anormaux : 

ps aux | grep -vE "sshd|bash|systemd"

Pour repérer des binaires ou fichier récemment modifiés (fenêtre de 10 jours ajustable) : 

find /etc /usr /bin /sbin /lib -type f -mtime -10 2>/dev/null

Cette dernière commande est facultative, mais souvent riche en enseignements.

Envie d’aller plus loin dans la cybersécurité offensive et la réponse aux incidents ? Notre formation certification OSCP vous donne les compétences pratiques pour analyser, exploiter et sécuriser des systèmes compromis.

L’équipe Ambient IT

Remédiations : S’aider de l’IA pour éliminer l’ennemie

Reprenez les sorties de chaque commande, prenez votre meilleur LLM sous la main (chatGPT, Gemini, Mistral…) et demandez-lui avec ce simple prompt de vous aider :

Ma machine a été infectée par un virus suite à la faille React2Shell, aide-moi étape par étape à éliminer tous les processus susceptibles d’être dangereux pour mon serveur. Voici le résultat de mon investigation : [COPIER ICI LE RÉSULTAT DES 5 PRÉCÉDENTES COMMANDES]

Utile : Éliminer le malware Rondo ou autre trojan au démarrage

Neutraliser sa persistance

La première action vitale est d’empêcher le malware de redémarrer après un reboot, garantissant que l’effort de désinfection ne soit pas vain.

Voici la marche à suivre :

1. Ouvrez le crontab de l’utilisateur root pour édition : 

crontab -e

2. Identifiez et supprimez la ligne de resistance. Par exemple : 

@reboot /etc/rondo/rondo react.x86_64.persisted

3. Enregistrez et quittez l’éditeur

Résultat : Le malware ne se lancera plus au démarrage. Cependant, il est toujours présent et actif en mémoire.

Une fois votre serveur réanimé : Nettoyez le reste des fichiers

En combinant l’analyse comportementale du malware Rondo et la neutralisation de son mécanisme de persistance via le crontab, nous avons franchi une étape décisive. Nous avons transformé une menace récurrente en une infection temporaire : le malware a perdu sa capacité à survivre au redémarrage du serveur.

Cependant, comme souligné précédemment, cette action n’est qu’une mesure d’endiguement. À ce stade précis, le code malveillant est toujours actif en mémoire vive (RAM) et les fichiers binaires résident encore sur le disque.

Pour garantir un retour à la normale et sécuriser définitivement l’environnement, l’intervention doit se poursuivre immédiatement par trois actions finales :

  • L’arrêt immédiat des processus : Utiliser les commandes kill ou pkill pour terminer les instances actives (ex : react.x86_64).
  • Le nettoyage des fichiers : Supprimer le répertoire /etc/rondo/ et tout binaire associé identifié lors de l’analyse.
  • L’audit de sécurité : Vérifier qu’aucune autre porte dérobée (clés SSH inconnues, autres tâches cron, utilisateurs suspects) n’a été installée par l’attaquant pendant la période d’infection.

La suppression de la ligne dans le crontab est le verrou qui empêche le retour de l’attaquant, mais seul le nettoyage complet, validé par des outils comme ClamAV ou encore Falco, confirmera la reprise du contrôle du système.

Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.

UNE QUESTION ? UN PROJET ? UN AUDIT DE CODE / D'INFRASTRUCTURE ?

Pour vos besoins d’expertise que vous ne trouvez nulle part ailleurs, n’hésitez pas à nous contacter.

Contact Audit

ILS SE SONT FORMÉS CHEZ NOUS

partenaire sncf
partenaire hp
partenaire allianz
partenaire sfr
partenaire engie
partenaire boursorama
partenaire invivo
partenaire orange
partenaire psa
partenaire bnp
partenaire sncf
partenaire hp
partenaire allianz
partenaire sfr
partenaire engie
partenaire boursorama
partenaire invivo
partenaire orange
partenaire psa
partenaire bnp