O Problema

Era uma manhã de domingo quando percebi que algo estava errado. Ao tentar acessar o site de um cliente hospedado em uma VPS na Hostinger, fui recebido por uma mensagem fria: 502 Bad Gateway. O nginx estava rodando, mas não conseguia processar as requisições.

Ao verificar o painel da Hostinger, o motivo ficou claro: a CPU estava travada em 100% de uso constante. Mais preocupante ainda, o detector de malware da Hostinger havia identificado dois arquivos suspeitos e os movido para quarentena.

Os arquivos tinham um nome que qualquer profissional de segurança reconheceria imediatamente: XMRig — um dos mineradores de Monero mais populares do mundo, frequentemente usado em ataques de cryptojacking.

O Que é Cryptojacking?

Antes de continuar, vale explicar o que estava acontecendo. Cryptojacking é um tipo de ataque onde criminosos invadem servidores para minerar criptomoedas usando os recursos computacionais da vítima. Diferente de ransomware, que bloqueia seus dados e exige resgate, o cryptojacking é silencioso — o atacante quer que você não perceba enquanto ele lucra com sua eletricidade e processamento.

Monero (XMR) é a criptomoeda favorita desses ataques porque foi projetada para privacidade. Transações são praticamente impossíveis de rastrear, o que torna o dinheiro “limpo” desde a origem. O XMRig é o software que faz esse trabalho de mineração.

O sintoma clássico é exatamente o que eu estava vendo: CPU em 100%, servidor lento ou inacessível, e custos de cloud disparando.

A Investigação: Pior do que Parecia

Meu primeiro instinto foi acessar o servidor via SSH e investigar. O scanner da Hostinger havia encontrado o XMRig, mas eu precisava entender a extensão do comprometimento antes de decidir os próximos passos.