NGINX 劫持活动针对亚洲顶级域名：威胁、策略与影响

Source: Dev.to

导航针对 NGINX 的网络流量劫持活动

在不断演变的网络安全格局中，出现了一场针对 NGINX 部署的全新劫持活动，尤其是通过 Baota（BT）管理的实例。该行动利用恶意 shell 脚本向 NGINX 注入恶意配置，将进入的请求捕获并重定向至攻击者控制的服务器。这是一场技术成熟的网络流量劫持行动，对亚洲顶级域名（TLD）及更广范围都可能产生影响。

攻击核心

该活动使用 shell 脚本修改 NGINX 配置文件。注入的指令旨在：

• 捕获入站 HTTP 请求。
• 将流量重定向至攻击者控制的服务器。
• 实现数据外泄或进一步的恶意操作。

攻击目标

攻击者的重点包括：

• 亚洲顶级域名，如 .in、.id、.pe、.bd。
• 中国的托管基础设施。
• 政府和教育机构域名（.gov、.edu）。

这些目标因其敏感性而提升了潜在影响。

他们使用的工具

多个自定义脚本实现了入侵过程的自动化：

# zx.sh
# 编排攻击后续阶段的执行。

# bt.sh
# 针对 Baota 管理面板，覆盖 NGINX 配置为恶意规则。

# 4zdh.sh & zdh.sh
# 枚举常见的 NGINX 位置，降低创建新配置文件时的错误。

# ok.sh
# 生成活动劫持规则的报告，以评估活动范围。

未解之谜

威胁行为者的身份仍不明朗。然而，该活动似乎利用了 CVE‑2025‑55182 等漏洞，为在受感染系统上获取初始立足点提供了可能。

GreyNoise 的发现

GreyNoise 数据显示两个 IP 地址经常与 React2Shell 利用尝试关联：

• 193.142.147[.]209
• 87.121.84[.]24

这些主机被视为劫持活动的热点。

结论：行动呼吁

此活动凸显了在网络安全中持续保持警惕的关键性：

• 及时修补已知漏洞（如 CVE‑2025‑55182）。
• 监控 NGINX 配置，防止未经授权的更改。
• 实施网络层防御，检测并阻断可疑流量。

了解新兴攻击手法并保持严格的安全卫生，是保护全球数字基础设施的必要步骤。