有黑客通过漏洞入侵宝塔面板和NGINX服务器 得手后劫持网站流量到博彩网站

日前网络安全公司 DATADOG 分享的安全报告显示，黑客正在继续使用 React2Shell 漏洞 (CVE-2025-55182) 发起攻击，并且此次目标是使用宝塔面板和 NGINX 服务器的用户。

宝塔面板是免费的服务器管理面板，用户可以通过图形化界面快速部署软件和配置网站等，NGINX 则是 F5 旗下的开源反向代理服务器软件，目前也被业界广泛采用。

而黑客攻击的目标则是使用亚洲顶级域名搭建的网站 (包括.in、.id、.pe、.bd、.th、.edu、.gov)，劫持目的则主要是将流量跳转到非法博彩网站。

篡改配置文件添加流量转发模块：

在 NGINX 中用户可以通过指令 proxy_pass 将接收到流量转发到其他位置，这属于 NGINX 中常见指令，因此黑客添加这个配置后并不会引起安全警告。

黑客还会添加请求头例如 Host、X-Real-IP、User-Agent 和 Referer 等，让流量看起来是合法的，除非 IT 管理员检查配置文件否则很难注意到这些更改。

那么黑客如何渗透到服务器中的呢？

DATADOG 经过分析后发现黑客使用脚本化的多阶段工具包来执行 NGINX 配置注入，工具包分成 zx.sh、bt.sh、4zdh.sh、zdh.sh 和 ok.sh。

zx.sh：该脚本仅作为初始控制脚本负责下载并执行剩余阶段，脚本还包含备用机制，如果 curl 或 wget 不可用时，则会通过 TCP 发送原始的 HTTP 请求。

bt.sh：该脚本针对宝塔面板管理的 NGINX 配置文件，脚本会根据 server_name 值动态选择注入模板并安全地覆盖配置，随后重启 NGINX 使之生效。

4zdh.sh：该脚本用来枚举常见的 NGINX 配置位置，例如 sites-enabled、conf.d 和 sites.available 等。

zdh.sh：该脚本采用更精准的目标定位方法，针对 /etc/nginx/sites-enabled 文件，尤其是关注.in 和.id 域名。

ok.sh：该脚本扫描被注入的 NGINX 配置，构建被劫持的域名、注入模板和代理目标的映射图，收集的域名信息会被传送到 C2 服务器。

黑客的真正目标可能是随机跳转到非法博彩网站：

相信各位在日常上网时应该碰到过访问某些网站时有概率跳转到某些非法网站，这些源网站通常被黑客挂马，如果检测到用户通过搜索引擎访问则会跳转到非法博彩网站。

此次黑客通过漏洞入侵宝塔面板和篡改 NGINX 服务器的主要原因同样是为了流量，被攻击的网站会有一定概率跳转到攻击者控制的非法博彩网站。

从涉及到的域名来看，黑客主要针对东南亚用户例如印度、印度尼西亚、孟加拉和泰国等，.pe 域名是个例外，这个域名是南美洲国家秘鲁的。

这里也提醒网站管理员日常还是要检查各种配置文件的，本文中提到的攻击案例，如果不检查配置文件很难发现异常，除非有用户提交反馈。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/