【安全圈】突发！BT面板Nginx服务器遭批量攻击

成为首要攻击方向，顺利后黑客会窜改任职器装备，将网站流量胁制至违警博彩网站，目前攻击已笼盖众个区域域名。

中央受攻击载体：行使浮屠面板治理的 NGINX 任职器，浮屠面板为邦内常用免费任职器图形化治理器械，NGINX 为业界通俗行使的开源反向代庖任职器；

针对性域名：亚洲顶级域名搭筑的网站，蕴涵印度）、.id（印尼）、.bd（孟加拉）、.th（泰邦）、.edu、.gov，同时涉及南美洲秘鲁.pe 域名；

跳转到违警博彩网站，加倍探寻引擎探访时跳转概率更高，网站运营者会失落平常流量，同时用户探访体验受损，还或者面对合规危机。

黑客应用 NGINX 原生proxy_pass 指令（流量转发常用指令）增添转发模块，因该指令为平常效用，不会触发和平警卫；同时伪制Host、X-Real-IP、User-Agent、Referer等合法哀告头，若无人工搜检装备文献，极难发觉窜改踪迹。

黑客行使蕴涵zx.sh、bt.sh、4zdh.sh、zdh.sh、ok.sh的剧本化器械包，完毕主动化 NGINX 装备注入，各剧本分工昭彰：

zx.sh：初始限定剧本，承当下载并履行其他剧本，含备用下载机制，curl/wget 不行用时通过 TCP 发送 HTTP 哀告；

bt.sh：针对性攻击浮屠面板，遵照 server_name 值动态注入装备模板并笼盖，重启 NGINX 使装备生效；

ok.sh：扫描已注入的装备，网罗被胁制域名音讯并传送至黑客 C2 任职器（长途控礼服务器）。

立地修复缝隙：核查任职器是否存正在 React2Shell 缝隙（CVE-2025-55182），前去浮屠面板后台、NGINX 官方下载对应修复补丁 / 更新至最新和平版本；

搜检装备文献：中心核查 NGINX 的 sites-enabled、conf.d、sites.available 目次下装备文献，删除生疏的 proxy_pass 转发指令及很是哀告头装备；

重启验证：修削装备后重启 NGINX 任职，探访网站测试是否存正在很是跳转，同时搜检探访日记，排查生疏 IP 的很是探访记实。

：禁止任职器中匿名用户履行 sh、bash 等剧本文献，对 zx.sh、bt.sh 等可疑剧本名称扶植拦截章程；

：通过防火墙、入侵检测体系拦截任职器与境外生疏 IP 的通讯，中心监控东南亚、南美洲区域很是 IP；

：修削浮屠面板默认登录端口、开启二次验证，删除非运维职员的面板操作权限，闭上不须要的长途探访效用；

：开启 NGINX 和浮屠面板的全量日记审计，对装备文献修削、剧本履行等操作做及时告警，第偶尔间发觉很是行动。

若发觉网站已被胁制，除修复装备外，需立地修削浮屠面板、任职器登录暗码，更调 SSH 密钥，避免黑客二次入侵；

非手艺型运营者可闭联任职器任职商，哀告协助做缝隙检测和装备核查，切勿自行修削装备避免激发新题目；

此次攻击暂未发觉针对大凡个别用户筑筑的危机，个别上彀碰到网站跳转博彩页面，直接闭上即可，无需过分担忧。

闭怀我，第偶尔间获取任职器和平防护最新手腕，转发给身边的网站运营 / 运维同行，一同筑牢任职器和平防地！