A nagy NGINX-átverés: titokban eltérített szerverek
Egy új, kifinomult támadássorozatban hackerek sikeresen kompromittálnak NGINX-szervereket, hogy a felhasználói forgalmat titokban a saját háttér-infrastruktúrájukra irányítsák át. Az NGINX egy népszerű, nyílt forráskódú webszerver-kezelő szoftver, amelyet terheléselosztásra, gyorsítótárazásra, valamint proxyfeladatokra is széles körben használnak.
A támadás célpontjai és működése
A DataDog Security Labs kutatói által felfedezett kampány főként ázsiai végződésű domaineken (.in, .id, .pe, .bd, .th), valamint kormányzati és oktatási oldalakon (.edu, .gov) működő NGINX-konfigurációkat, illetve a Baota menedzsmentpanellel rendelkező szervereket célozza meg. A támadók meglévő NGINX-konfigurációs fájlokat módosítanak: rosszindulatú „location” blokkokat fecskendeznek be, amelyek a kiválasztott URL-eken keresztül érkező kéréseket elkapják, majd az eredeti URL-t újraírják, és a „proxy_pass” direktívával a saját, a támadók által kezelt domainekre irányítják tovább. Eközben a forgalom látszólag érintetlen marad, hiszen az olyan fejlécadatok, mint a Host, X-Real-IP, User-Agent és Referer is megmaradnak, ezzel legitimnek tűnik az adatforgalom.
Ötlépcsős támadó eszközkészlet
A támadássorozat egy ötlépcsős, szkripteket használó eszközkészlettel megy végbe. Az első lépés egy irányító szkript (zx.sh), amely letölti és futtatja a többi lépcsőt; ha nincs curl vagy wget, akkor nyers HTTP-kérést küld TCP-n keresztül. A második szkript (bt.sh) a Baota-paneles NGINX-fájlokat célozza, dinamikusan választ injektálási sablont, és újratölti az NGINX-et a leállás elkerülésére. A harmadik lépés (4zdh.sh) a leggyakoribb konfigurációs elérési útvonalakat pásztázza a rendszer meghibásodásának elkerülésére, és csak akkor tölti újra a szolgáltatást, ha a módosítás hibátlan. A negyedik szkript (zdh.sh) főként a /etc/nginx/sites-enabled könyvtárat és .in, .id domaineket céloz, szükség esetén kényszerített újraindítást végez az NGINX-en. Az ötödik lépés (ok.sh) összerendeli a megszerzett domaineket és sablonokat, majd mindent egy C2-szerverre (158.94.210.227) küld.
A támadás nem az NGINX egy sebezhetőségét használja ki, hanem elrejtett utasításokkal módosítja a konfigurációs fájlokat. Ezért a szerverüzemeltetők gyakran észre sem veszik a történteket, hiszen a forgalom többsége akadálytalanul eljut a valódi célhoz – a csaló infrastruktúrán való áthaladást így alig lehet észrevenni, ha nincs speciális forgalomelemzés.
A pénzügyi világban új verseny bontakozik ki: a hagyományos nagybankok – a JPMorgan és a Goldman Sachs – egyre komolyabban fontolgatják, hogy belépnek az úgynevezett előrejelzési piacok területére...
Az amerikai Élelmiszer- és Gyógyszerügyi Hivatal (FDA) engedélyezte az Eli Lilly legújabb, GLP-1 típusú, szájon át szedhető gyógyszerét, a Foundayo-t...
🚽 2026 áprilisában négy űrhajós indul útnak a Hold felé az Artemis II-misszió keretében, és magukkal visznek egy olyan űrtoalettet, amely a szó szoros értelmében forradalmasítja az űrutazás komfortját...
🍫 Évtizedek óta rajonganak érte, de a Reese’s mogyoróvajas csészék (Reese’s Peanut Butter Cups) népszerűsége ellenére az utóbbi időben változtattak a recepten: néhány különleges alkalomra készült terméken, például a kis húsvéti tojásokon, csökkent a valódi csokoládé aránya, olcsóbb összetevőkkel helyettesítve azt...
Nyolc évvel ezelőtt indult útjára az 1.1.1.1 nyilvános DNS-feloldó, amelynek célja nem kevesebb volt, mint a világ leggyorsabb, a magánszférát tiszteletben tartó szolgáltatásának létrehozása...
Washingtonban mondott beszédében Harry herceg kemény hangot ütött meg a közösségi oldalak működésével kapcsolatban, amikor elismerően szólt két friss, nagy horderejű perről, amelyek főként a gyerekek védelmét érintik...
😴 A korán kezdődő munkanapok milliók mindennapjait keserítik meg, hiszen a hajnalban kezdődő műszak biológiailag kényszerű kompromisszum: az agy ilyenkor még alvásra van programozva, a teljesítmény pedig jelentősen csökken...
🚀 Elon Musk újra a figyelem középpontjában: a SpaceX titokban beadta a tőzsdei bevezetéshez szükséges papírokat az Egyesült Államok Értékpapír- és Tőzsdebizottságához...
Jack Dorsey, a Block alapítója és vezérigazgatója szerint a vállalatok egy új működési korszak küszöbén állnak, amelyben a középvezetői réteg szerepét nagyrészt a mesterséges intelligencia veheti át...
A Google sürgősséggel adott ki frissítést a Chrome böngészőhöz, miután felfedeztek egy negyedik, ebben az évben aktívan kihasznált nulladik napi hibát...
Ez a jelenség jól illusztrálható azzal, hogy az Apple, amely évtizedeken át forradalmasította a technológiai világot és termékeivel új szokásokat teremtett, ma saját történetének egyik legkritikusabb szakaszához érkezett...
Egy kanadai tinédzser élete teljesen felborult, amikor szinte egyik napról a másikra testét ismeretlen eredetű csalánkiütések lepték el, valahányszor víz érte a bőrét...
Érdemes megvizsgálni, hogy a tokenizáció, vagyis eszközök blokklánc-alapú nyilvántartása és átruházása miért vált az utóbbi évek egyik legnagyobb kriptós hívószavává...
🛡 2026 tavaszán a világ legnagyobb kiberbiztonsági konferenciáján futótűzként terjedt egy nyugtalanító felismerés: soha nem volt még ilyen rövid az ablak, amelyen keresztül a védelmezők megállíthatják a támadásokat...
A NASA továbbra is április 1-re tervezi az Artemis II küldetés indítását, és jelenleg sem az űrhajóval, sem a csapattal kapcsolatban nincs jelentős technikai probléma...
Steve Jobs neve egybeforrt az Apple-lel, az iPhone‑nal, iPaddal és iMaccal, mégis egészen másból származott az a vagyon, amely később milliárdossá tette...
