收集安全征询东说念主员表现了一项正在进行的收集流量劫握袭击算作的详备信息,该算作针对 NGINX装配和浮图(BT)等处置面板,试图将流量路由到袭击者的基础设施中。
Datadog安全实验室暗示,他们不雅察到与最近的 React2Shell (CVE-2025-55182,CVSS 评分:10.0)弱点诳骗有关的恫吓算作者,使用坏心 NGINX 建树来实施袭击。
"坏心建树遏制用户与网站之间的正当收集流量,并将其路由到袭击者结果的后端事业器,"安全征询员 Ryan Simon 说。"该袭击算作针对亚洲顶级域名(.in、.id、.pe、.bd、.th)、中国托管基础设施(浮图面板)以及政府和教悔顶级域名(.edu、.gov)。"
该算作触及使用 Shell 剧本将坏心建树注入 NGINX,NGINX 是一个用于收集流量处置的开源反向代理和负载平衡器。这些"location"建树旨在拿获特定预界说 URL 旅途上的传入苦求,并通过"proxy_pass"领导将其重定向到袭击者结果的域名。
伸开剩余70%这些剧本是多阶段用具包的一部分,该用具包有助于握久化和创建包含坏心领导的坏心建树文献来重定向收集流量。该用具包的组件如下:
zx.sh,充任互助器,通过 curl 或 wget等正当实用才能践诺后续阶段。要是这两个才能被进攻,它会创建原始 TCP 聚集来发送 HTTP 苦求。
bt.sh,针对浮图(BT)处置面板环境,笼罩 NGINX 建树文献。
4zdh.sh,排列常见的 Nginx 建树位置,并在创建新建树时采取步调最小化失实。
zdh.sh,领受更窄的见地定位方法,主要针对 Linux或容器化 NGINX 建树,快乐飞艇app并针对 .in 和 .id 等顶级域名。
ok.sh,讲求生成详备列出统统算作 NGINX 流量劫握功令着实认。
"该用具包包含见地发现和几个为握久化和创建包含重定向收集流量领导的坏心建树文献而筹画的剧本。"
这次表现之际,GreyNoise 暗示,在 React2Shell 公开表现两个月后,两个 IP地址——193.142.147[.]209 和 87.121.84[.]24——占统统不雅察到的弱点诳骗尝试的 56%。在 2026 年 1 月 26 日至 2 月 2 日历间,共有 1,083 个惟一源 IP 地址参与了 React2Shell 弱点诳骗。
"主要着手部署了不同的后弱点诳骗载荷:一个从暂存事业器检索加密挖矿二进制文献,而另一个径直向扫描器 IP 大开反向 Shell,"该恫吓谍报公司说。"这种方法标明对交互式看望的深嗜,而非自动化资源索要。"
{jz:field.toptypename/}此外,还发现了一项针对 Citrix ADC Gateway 和 Netscaler Gateway 基础设施的互助侦探算作,使用数万个住宅代理和单个 Microsoft AzureIP 地址("52.139.3[.]76")来发现登录面板。
"该算作启动两种不同时势:使用住宅代理交替的大领域散播式登录面板发现操作,以及聚拢的 AWS托管版块表现冲刺,"GreyNoise 指出。"它们具有查找登录面板和排列版块的互补见地,这标明了互助侦探。"
Q&A
Q1:什么是 NGINX 流量劫握袭击?它是若何责任的?
A:这是一种针对 NGINX 事业器的收集袭击,袭击者通过注入坏心建树来遏制用户与网站之间的正当流量,然后将这些流量重定向到袭击者结果的事业器。袭击者使用"location"建树和"proxy_pass"领导来完了流量重定向。
Q2:这次袭击算作主要针对哪些见地?
A:该袭击算作主要针对亚洲顶级域名(如.in、.id、.pe、.bd、.th)、中国的浮图处置面板托管基础设施,以及政府和教悔机构的顶级域名(.edu、.gov)。
Q3:React2Shell 弱点在这次袭击中起什么作用?
A:React2Shell(CVE-2025-55182)是一个评分为 10.0 的高危弱点,袭击者诳骗这个弱点来部署坏心 NGINX 建树。在弱点公开表现后的两个月内,已有起程点 1,000 个 IP 地址参与有关的弱点诳骗算作。
发布于:北京市
备案号: