關(guān)鍵詞

黑客攻擊

一、事件核心概況

據(jù)網(wǎng)絡(luò)安全公司DATADOG發(fā)布的安全報(bào)告顯示，黑客正利用React2Shell 漏洞（CVE-2025-55182，遠(yuǎn)程代碼執(zhí)行類漏洞）發(fā)起針對(duì)性攻擊，寶塔面板及NGINX 服務(wù)器成為主要攻擊目標(biāo)，得手后黑客會(huì)篡改服務(wù)器配置，將網(wǎng)站流量劫持至非法博彩網(wǎng)站，目前攻擊已覆蓋多個(gè)地區(qū)域名。

二、攻擊目標(biāo)與影響范圍

1. 1、核心受攻擊載體：使用寶塔面板管理的 NGINX 服務(wù)器，寶塔面板為國(guó)內(nèi)常用免費(fèi)服務(wù)器圖形化管理工具，NGINX 為業(yè)界廣泛使用的開(kāi)源反向代理服務(wù)器；
2. 2、針對(duì)性域名：亞洲頂級(jí)域名搭建的網(wǎng)站，包含.in（印度）、.id（印尼）、.bd（孟加拉）、.th（泰國(guó)）、.edu、.gov，同時(shí)涉及南美洲秘魯.pe 域名；
3. 3、影響后果：被攻擊網(wǎng)站的流量會(huì)隨機(jī)跳轉(zhuǎn)到非法博彩網(wǎng)站，尤其搜索引擎訪問(wèn)時(shí)跳轉(zhuǎn)概率更高，網(wǎng)站運(yùn)營(yíng)者會(huì)丟失正常流量，同時(shí)用戶訪問(wèn)體驗(yàn)受損，還可能面臨合規(guī)風(fēng)險(xiǎn)。
4. 
   

黑客利用 NGINX 原生proxy_pass 指令（流量轉(zhuǎn)發(fā)常用指令）添加轉(zhuǎn)發(fā)模塊，因該指令為正常功能，不會(huì)觸發(fā)安全警告；同時(shí)偽造Host、X-Real-IP、User-Agent、Referer等合法請(qǐng)求頭，若無(wú)人工檢查配置文件，極難發(fā)現(xiàn)篡改痕跡。

2. 多階段腳本工具包：自動(dòng)化批量滲透

黑客使用包含zx.sh、bt.sh、4zdh.sh、zdh.sh、ok.sh的腳本化工具包，實(shí)現(xiàn)自動(dòng)化 NGINX 配置注入，各腳本分工明確：

• zx.sh：初始控制腳本，負(fù)責(zé)下載并執(zhí)行其他腳本，含備用下載機(jī)制，curl/wget 不可用時(shí)通過(guò) TCP 發(fā)送 HTTP 請(qǐng)求；

• bt.sh：針對(duì)性攻擊寶塔面板，根據(jù) server_name 值動(dòng)態(tài)注入配置模板并覆蓋，重啟 NGINX 使配置生效；

• 4zdh.sh：枚舉 NGINX 常見(jiàn)配置文件位置（sites-enabled/conf.d/sites.available 等）；

• zdh.sh：精準(zhǔn)定位 /etc/nginx/sites-enabled 文件，重點(diǎn)針對(duì).in/.id 域名；

• ok.sh：掃描已注入的配置，收集被劫持域名信息并傳送至黑客 C2 服務(wù)器（遠(yuǎn)程控制服務(wù)器）。

1. 立即修復(fù)漏洞：核查服務(wù)器是否存在 React2Shell 漏洞（CVE-2025-55182），前往寶塔面板后臺(tái)、NGINX 官方下載對(duì)應(yīng)修復(fù)補(bǔ)丁 / 更新至最新安全版本；
2. 檢查配置文件：重點(diǎn)核查 NGINX 的 sites-enabled、conf.d、sites.available 目錄下配置文件，刪除陌生的 proxy_pass 轉(zhuǎn)發(fā)指令及異常請(qǐng)求頭配置；
3. 重啟驗(yàn)證：修改配置后重啟 NGINX 服務(wù)，訪問(wèn)網(wǎng)站測(cè)試是否存在異常跳轉(zhuǎn)，同時(shí)檢查訪問(wèn)日志，排查陌生 IP 的異常訪問(wèn)記錄。

1. 限制腳本執(zhí)行權(quán)限：禁止服務(wù)器中匿名用戶執(zhí)行 sh、bash 等腳本文件，對(duì) zx.sh、bt.sh 等可疑腳本名稱設(shè)置攔截規(guī)則；
2. 監(jiān)控 C2 服務(wù)器通信：通過(guò)防火墻、入侵檢測(cè)系統(tǒng)攔截服務(wù)器與境外陌生 IP 的通信，重點(diǎn)監(jiān)控東南亞、南美洲地區(qū)異常 IP；
3. 加固寶塔面板：修改寶塔面板默認(rèn)登錄端口、開(kāi)啟二次驗(yàn)證，刪除非運(yùn)維人員的面板操作權(quán)限，關(guān)閉不必要的遠(yuǎn)程訪問(wèn)功能；
4. 開(kāi)啟日志審計(jì)：開(kāi)啟 NGINX 和寶塔面板的全量日志審計(jì)，對(duì)配置文件修改、腳本執(zhí)行等操作做實(shí)時(shí)告警，第一時(shí)間發(fā)現(xiàn)異常行為。

1. 若發(fā)現(xiàn)網(wǎng)站已被劫持，除修復(fù)配置外，需立即修改寶塔面板、服務(wù)器登錄密碼，更換 SSH 密鑰，避免黑客二次入侵；

2. 非技術(shù)型運(yùn)營(yíng)者可聯(lián)系服務(wù)器服務(wù)商，請(qǐng)求協(xié)助做漏洞檢測(cè)和配置核查，切勿自行修改配置避免引發(fā)新問(wèn)題；

3. 此次攻擊暫未發(fā)現(xiàn)針對(duì)普通個(gè)人用戶設(shè)備的風(fēng)險(xiǎn)，個(gè)人上網(wǎng)遇到網(wǎng)站跳轉(zhuǎn)博彩頁(yè)面，直接關(guān)閉即可，無(wú)需過(guò)度擔(dān)心。

關(guān)注我，第一時(shí)間獲取服務(wù)器安全防護(hù)最新技巧，轉(zhuǎn)發(fā)給身邊的網(wǎng)站運(yùn)營(yíng) / 運(yùn)維同行，一起筑牢服務(wù)器安全防線！

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！