від toxi » 21-02-2026 13:10:29
Дослідники з Datadog
виявили схему, де веб-сервер захоплюють не щоб зашифрувати, а щоб перетворити на розумний проксі. Проникають через вразливість React2Shell (CVE-2025-55182), після чого завантажують скрипти, які сканують директорію
/etc/nginx/ (або шляхи панелі Baota) та впроваджують у конфіги шкідливі блоки location.
До конфіг додаються локейшени типу
/game/,
/help/,
/news/, всередині яких стоїть
proxy_pass на сервер хацкерів. Користувач заходить на легітимний довірений домен, бачить зелений замок SSL, але контент йому віддає сервер хацкерів. Найчастіше це реклама казино або скам, який ідеально індексується пошуковими системами за рахунок репутації вашого домену.
Скрипт-інжектор (4zdh.sh) написаний професійно - перед тим, як застосувати зміни, він запускає
nginx -t. Якщо новий конфіг не проходить валідацію, малвар не перезавантажує Nginx, щоб не упустити прод і не привернути увагу адміна падінням сервісу. Більше того, якщо на сервері випиляно
curl і
wget, скрипт вміє качати пейлоади через нативні можливості Bash (
/dev/tcp).
Так що якщо ваші маркетологи скаржаться, що сайт почав ранжуватися на запити "слоти онлайн крутити", не поспішайте звинувачувати контент-иенеджера. Зробіть
grep -r "proxy_pass" /etc/nginx та подивіться, куди насправді дивиться ваш реверс-проксі.
Дослідники з Datadog [url=https://securitylabs.datadoghq.com/articles/web-traffic-hijacking-nginx-configuration-malicious/]виявили[/url] схему, де веб-сервер захоплюють не щоб зашифрувати, а щоб перетворити на розумний проксі. Проникають через вразливість React2Shell (CVE-2025-55182), після чого завантажують скрипти, які сканують директорію [b]/etc/nginx/[/b] (або шляхи панелі Baota) та впроваджують у конфіги шкідливі блоки location.
До конфіг додаються локейшени типу [b]/game/[/b], [b]/help/[/b], [b]/news/[/b], всередині яких стоїть [b]proxy_pass[/b] на сервер хацкерів. Користувач заходить на легітимний довірений домен, бачить зелений замок SSL, але контент йому віддає сервер хацкерів. Найчастіше це реклама казино або скам, який ідеально індексується пошуковими системами за рахунок репутації вашого домену.
Скрипт-інжектор (4zdh.sh) написаний професійно - перед тим, як застосувати зміни, він запускає [b]nginx -t[/b]. Якщо новий конфіг не проходить валідацію, малвар не перезавантажує Nginx, щоб не упустити прод і не привернути увагу адміна падінням сервісу. Більше того, якщо на сервері випиляно [b]curl[/b] і [b]wget[/b], скрипт вміє качати пейлоади через нативні можливості Bash ([b]/dev/tcp[/b]).
Так що якщо ваші маркетологи скаржаться, що сайт почав ранжуватися на запити "слоти онлайн крутити", не поспішайте звинувачувати контент-иенеджера. Зробіть [b]grep -r "proxy_pass" /etc/nginx[/b] та подивіться, куди насправді дивиться ваш реверс-проксі.