Дослідники з Datadog виявили схему, де веб-сервер захоплюють не щоб зашифрувати, а щоб перетворити на розумний проксі. Проникають через вразливість React2Shell (CVE-2025-55182), після чого завантажують скрипти, які сканують директорію /etc/nginx/ (або шляхи панелі Baota) та впроваджують у конфіги шкідливі блоки location.
До конфіг додаються локейшени типу /game/, /help/, /news/, всередині яких стоїть proxy_pass на сервер хацкерів. Користувач заходить на легітимний довірений домен, бачить зелений замок SSL, але контент йому віддає сервер хацкерів. Найчастіше це реклама казино або скам, який ідеально індексується пошуковими системами за рахунок репутації вашого домену.
Скрипт-інжектор (4zdh.sh) написаний професійно - перед тим, як застосувати зміни, він запускає nginx -t. Якщо новий конфіг не проходить валідацію, малвар не перезавантажує Nginx, щоб не упустити прод і не привернути увагу адміна падінням сервісу. Більше того, якщо на сервері випиляно curl і wget, скрипт вміє качати пейлоади через нативні можливості Bash (/dev/tcp).
Так що якщо ваші маркетологи скаржаться, що сайт почав ранжуватися на запити "слоти онлайн крутити", не поспішайте звинувачувати контент-иенеджера. Зробіть grep -r "proxy_pass" /etc/nginx та подивіться, куди насправді дивиться ваш реверс-проксі.
Хакери перевіряють конфіг Nginx через nginx -t, щоб не впустити ваш прод
-
toxi
- Администратор
- Статті: 0
- Дописи: 555
- Дата реєстрації: 12-04-2008 07:58:25
- Ваша стать: Чоловічий
- І'мя: Roman
- Контакт:
Хакери перевіряють конфіг Nginx через nginx -t, щоб не впустити ваш прод
Правила форуму :: Виконую послуги IT-адміністратора (список послуг).