恶意 NGINX 配置引发大规模 Web 流量劫持攻击活动

网络安全研究人员披露了一项正在进行的网络流量劫持攻击活动的详细信息，该活动针对 NGINX 安装和宝塔(BT)等管理面板，试图将流量路由到攻击者的基础设施中。

Datadog 安全实验室表示，他们观察到与最近的 React2Shell (CVE-2025-55182，CVSS 评分：10.0)漏洞利用相关的威胁行为者，使用恶意 NGINX 配置来实施攻击。

"恶意配置拦截用户与网站之间的合法网络流量，并将其路由到攻击者控制的后端服务器，"安全研究员 Ryan Simon 说。"该攻击活动针对亚洲顶级域名(.in、.id、.pe、.bd、.th)、中国托管基础设施(宝塔面板)以及政府和教育顶级域名(.edu、.gov)。"

该活动涉及使用 Shell 脚本将恶意配置注入 NGINX，NGINX 是一个用于网络流量管理的开源反向代理和负载均衡器。这些"location"配置旨在捕获特定预定义 URL 路径上的传入请求，并通过"proxy_pass"指令将其重定向到攻击者控制的域名。

这些脚本是多阶段工具包的一部分，该工具包有助于持久化和创建包含恶意指令的恶意配置文件来重定向网络流量。该工具包的组件如下：

zx.sh，充当协调器，通过 curl 或 wget 等合法实用程序执行后续阶段。如果这两个程序被阻止，它会创建原始 TCP 连接来发送 HTTP 请求。

bt.sh，针对宝塔(BT)管理面板环境，覆盖 NGINX 配置文件。

4zdh.sh，枚举常见的 Nginx 配置位置，并在创建新配置时采取措施最小化错误。

zdh.sh，采用更窄的目标定位方法，主要针对 Linux 或容器化 NGINX 配置，并针对 .in 和 .id 等顶级域名。

ok.sh，负责生成详细列出所有活动 NGINX 流量劫持规则的报告。

"该工具包包含目标发现和几个为持久化和创建包含重定向网络流量指令的恶意配置文件而设计的脚本。"

此次披露之际，GreyNoise 表示，在 React2Shell 公开披露两个月后，两个 IP 地址——193.142.147[.]209 和 87.121.84[.]24——占所有观察到的漏洞利用尝试的 56%。在 2026 年 1 月 26 日至 2 月 2 日期间，共有 1,083 个唯一源 IP 地址参与了 React2Shell 漏洞利用。

"主要来源部署了不同的后漏洞利用载荷：一个从暂存服务器检索加密挖矿二进制文件，而另一个直接向扫描器 IP 打开反向 Shell，"该威胁情报公司说。"这种方法表明对交互式访问的兴趣，而非自动化资源提取。"

此外，还发现了一项针对 Citrix ADC Gateway 和 Netscaler Gateway 基础设施的协调侦察活动，使用数万个住宅代理和单个 Microsoft Azure IP 地址("52.139.3[.]76")来发现登录面板。

"该活动运行两种不同模式：使用住宅代理轮换的大规模分布式登录面板发现操作，以及集中的 AWS 托管版本披露冲刺，"GreyNoise 指出。"它们具有查找登录面板和枚举版本的互补目标，这表明了协调侦察。"

Q&A

Q1：什么是 NGINX 流量劫持攻击？它是如何工作的？

A：这是一种针对 NGINX 服务器的网络攻击，攻击者通过注入恶意配置来拦截用户与网站之间的合法流量，然后将这些流量重定向到攻击者控制的服务器。攻击者使用"location"配置和"proxy_pass"指令来实现流量重定向。

Q2：这次攻击活动主要针对哪些目标？

A：该攻击活动主要针对亚洲顶级域名（如.in、.id、.pe、.bd、.th）、中国的宝塔管理面板托管基础设施，以及政府和教育机构的顶级域名（.edu、.gov）。

Q3：React2Shell 漏洞在这次攻击中起什么作用？

A：React2Shell（CVE-2025-55182）是一个评分为 10.0 的高危漏洞，攻击者利用这个漏洞来部署恶意 NGINX 配置。在漏洞公开披露后的两个月内，已有超过 1,000 个 IP 地址参与相关的漏洞利用活动。