关键词

黑客攻击

一、事件核心概况

网络安全公司DATADOG发布的安全报告显示,黑客正利用React2Shell 漏洞(CVE-2025-55182,远程代码执行类漏洞)发起针对性攻击,宝塔面板NGINX 服务器成为主要攻击目标,得手后黑客会篡改服务器配置,将网站流量劫持至非法博彩网站,目前攻击已覆盖多个地区域名。

二、攻击目标与影响范围

  1. 1、核心受攻击载体:使用宝塔面板管理的 NGINX 服务器,宝塔面板为国内常用免费服务器图形化管理工具,NGINX 为业界广泛使用的开源反向代理服务器;
  2. 2、针对性域名:亚洲顶级域名搭建的网站,包含.in(印度)、.id(印尼)、.bd(孟加拉)、.th(泰国)、.edu、.gov,同时涉及南美洲秘鲁.pe 域名;
  3. 3、影响后果:被攻击网站的流量会随机跳转到非法博彩网站,尤其搜索引擎访问时跳转概率更高,网站运营者会丢失正常流量,同时用户访问体验受损,还可能面临合规风险。

三、黑客攻击核心手法 1. 配置篡改:隐蔽注入流量转发指令

黑客利用 NGINX 原生proxy_pass 指令(流量转发常用指令)添加转发模块,因该指令为正常功能,不会触发安全警告;同时伪造Host、X-Real-IP、User-Agent、Referer等合法请求头,若无人工检查配置文件,极难发现篡改痕迹。

2. 多阶段脚本工具包:自动化批量渗透

黑客使用包含zx.sh、bt.sh、4zdh.sh、zdh.sh、ok.sh的脚本化工具包,实现自动化 NGINX 配置注入,各脚本分工明确:

  • zx.sh:初始控制脚本,负责下载并执行其他脚本,含备用下载机制,curl/wget 不可用时通过 TCP 发送 HTTP 请求;

  • bt.sh:针对性攻击宝塔面板,根据 server_name 值动态注入配置模板并覆盖,重启 NGINX 使配置生效;

  • 4zdh.sh:枚举 NGINX 常见配置文件位置(sites-enabled/conf.d/sites.available 等);

  • zdh.sh:精准定位 /etc/nginx/sites-enabled 文件,重点针对.in/.id 域名;

  • ok.sh:扫描已注入的配置,收集被劫持域名信息并传送至黑客 C2 服务器(远程控制服务器)。

四、核心防护与应急处置方案▌通用版(所有宝塔 / NGINX 服务器运营者必做)
  1. 立即修复漏洞:核查服务器是否存在 React2Shell 漏洞(CVE-2025-55182),前往宝塔面板后台、NGINX 官方下载对应修复补丁 / 更新至最新安全版本;
  2. 检查配置文件:重点核查 NGINX 的 sites-enabled、conf.d、sites.available 目录下配置文件,删除陌生的 proxy_pass 转发指令及异常请求头配置;
  3. 重启验证:修改配置后重启 NGINX 服务,访问网站测试是否存在异常跳转,同时检查访问日志,排查陌生 IP 的异常访问记录。
▌专业版(运维 / 技术人员进阶防护)
  1. 限制脚本执行权限:禁止服务器中匿名用户执行 sh、bash 等脚本文件,对 zx.sh、bt.sh 等可疑脚本名称设置拦截规则;
  2. 监控 C2 服务器通信:通过防火墙、入侵检测系统拦截服务器与境外陌生 IP 的通信,重点监控东南亚、南美洲地区异常 IP;
  3. 加固宝塔面板:修改宝塔面板默认登录端口、开启二次验证,删除非运维人员的面板操作权限,关闭不必要的远程访问功能;
  4. 开启日志审计:开启 NGINX 和宝塔面板的全量日志审计,对配置文件修改、脚本执行等操作做实时告警,第一时间发现异常行为。
▌温馨提示

  1. 若发现网站已被劫持,除修复配置外,需立即修改宝塔面板、服务器登录密码,更换 SSH 密钥,避免黑客二次入侵;

  2. 非技术型运营者可联系服务器服务商,请求协助做漏洞检测和配置核查,切勿自行修改配置避免引发新问题;

  3. 此次攻击暂未发现针对普通个人用户设备的风险,个人上网遇到网站跳转博彩页面,直接关闭即可,无需过度担心。

关注我,第一时间获取服务器安全防护最新技巧,转发给身边的网站运营 / 运维同行,一起筑牢服务器安全防线!

打开网易新闻 查看精彩图片

安全圈

打开网易新闻 查看精彩图片

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!