A nagy NGINX-átverés: titokban eltérített szerverek
Egy új, kifinomult támadássorozatban hackerek sikeresen kompromittálnak NGINX-szervereket, hogy a felhasználói forgalmat titokban a saját háttér-infrastruktúrájukra irányítsák át. Az NGINX egy népszerű, nyílt forráskódú webszerver-kezelő szoftver, amelyet terheléselosztásra, gyorsítótárazásra, valamint proxyfeladatokra is széles körben használnak.
A támadás célpontjai és működése
A DataDog Security Labs kutatói által felfedezett kampány főként ázsiai végződésű domaineken (.in, .id, .pe, .bd, .th), valamint kormányzati és oktatási oldalakon (.edu, .gov) működő NGINX-konfigurációkat, illetve a Baota menedzsmentpanellel rendelkező szervereket célozza meg. A támadók meglévő NGINX-konfigurációs fájlokat módosítanak: rosszindulatú „location” blokkokat fecskendeznek be, amelyek a kiválasztott URL-eken keresztül érkező kéréseket elkapják, majd az eredeti URL-t újraírják, és a „proxy_pass” direktívával a saját, a támadók által kezelt domainekre irányítják tovább. Eközben a forgalom látszólag érintetlen marad, hiszen az olyan fejlécadatok, mint a Host, X-Real-IP, User-Agent és Referer is megmaradnak, ezzel legitimnek tűnik az adatforgalom.
Ötlépcsős támadó eszközkészlet
A támadássorozat egy ötlépcsős, szkripteket használó eszközkészlettel megy végbe. Az első lépés egy irányító szkript (zx.sh), amely letölti és futtatja a többi lépcsőt; ha nincs curl vagy wget, akkor nyers HTTP-kérést küld TCP-n keresztül. A második szkript (bt.sh) a Baota-paneles NGINX-fájlokat célozza, dinamikusan választ injektálási sablont, és újratölti az NGINX-et a leállás elkerülésére. A harmadik lépés (4zdh.sh) a leggyakoribb konfigurációs elérési útvonalakat pásztázza a rendszer meghibásodásának elkerülésére, és csak akkor tölti újra a szolgáltatást, ha a módosítás hibátlan. A negyedik szkript (zdh.sh) főként a /etc/nginx/sites-enabled könyvtárat és .in, .id domaineket céloz, szükség esetén kényszerített újraindítást végez az NGINX-en. Az ötödik lépés (ok.sh) összerendeli a megszerzett domaineket és sablonokat, majd mindent egy C2-szerverre (158.94.210.227) küld.
A támadás nem az NGINX egy sebezhetőségét használja ki, hanem elrejtett utasításokkal módosítja a konfigurációs fájlokat. Ezért a szerverüzemeltetők gyakran észre sem veszik a történteket, hiszen a forgalom többsége akadálytalanul eljut a valódi célhoz – a csaló infrastruktúrán való áthaladást így alig lehet észrevenni, ha nincs speciális forgalomelemzés.
2025, adrienne, www.bleepingcomputer.com alapján
filózó
Te mit gondolsz, hogyan lehetne jobban megvédeni ezeket a szervereket?
Te mit tettél volna, ha te üzemelteted ezeket a rendszereket?
👀 Érdemes megérteni, hogy a Johns Hopkins Egyetem kutatóinak sikerült megfejteniük, miként alakul ki az éles, központi látásunk már születésünk előtt...
🛡 Érdemes megvizsgálni, hogy a júniusi hibajavítási hullám után egy új, napvilágot látott sebezhetőség miatt ismét frissítést kellett kiadnia a Microsoftnak...
🚧 Az Egyesült Államok Közlekedésbiztonsági Hivatala most ultimátumot adott az önvezető autókat fejlesztő cégeknek: július végéig találják meg a megoldást arra, hogy a sofőr nélküli járművek ne zavarják a mentőket vészhelyzetekben...
🚨 Noha a Linux hosszú ideje az egyik legmegbízhatóbb operációs rendszerként él a köztudatban, a közelmúltban két súlyos sebezhetőség is napvilágra került, amelyek alapjaiban rengethetik meg a felhőszolgáltatók biztonságát...
🔬 A Cornell Egyetem kutatói új típusú, mikroszkopikus szilícium-dioxid nanorészecskéket fejlesztettek ki, amelyek képesek közvetlenül elpusztítani a prosztatarákos daganatokat, miközben egyidejűleg aktiválják a szervezet immunrendszerét is a rák elleni harcra...
💡 Grok 4.5 bemutatkozott, és jelentősen egyszerűsíti a bonyolult feladatok elvégzését. Kódírás, táblázatok és prezentációk készítése most egyetlen munkafolyamatba sűríthető anélkül, hogy újra és újra át kellene írni az utasításokat...
Több mint száz évvel Einstein elméletének megszületése után az asztrofizikusok ismét igazolták a nagy fizikus forradalmi gondolatát: a Föld valóban maga után húzza a téridőt, miközben kering a Nap körül...
A Samsung bemutatta első PCIe 6.0 szabványú üzleti SSD-jét, a PM1763-at, amelyet kifejezetten MI- és nagy teljesítményű számítógépes szerverekhez fejlesztettek...
💸 A Luxshare Precision Industry tőzsdei premierje csalódást okozott Hongkongban: a részvényárfolyam több mint 5 százalékot esett csütörtök reggel, annak ellenére, hogy a városban az idei év legnagyobb elsődleges nyilvános részvénykibocsátását (IPO) bonyolította le...
Újabb fordulóponthoz érkezett az MI-alapú hangkommunikáció: az OpenAI bemutatta a GPT-Live nevű megoldását, amely minden eddiginél természetesebb, párbeszédszerű beszélgetést tesz lehetővé a ChatGPT-vel...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Stack zero (iPhone/iPad)A Stack Zero alkalmazás beépített, Apple által támogatott dokumentum-szkennerével a papíralapú iratok digitalizálása rendkívül egyszerű és gyors...
🔎 A legutóbbi kiberbiztonsági vizsgálatok szerint veszélybe kerültek az amerikai és kanadai egyetemek kutatói: ismeretlen támadók gyenge pontokat fedeztek fel a Roundcube-levelezőszervereken, és ezt kihasználva fizikusokat, mérnököket, adminisztrátorokat, illetve asztrofizikával, részecskefizikával vagy nemzetbiztonsággal foglalkozó intézményeket is megcéloztak...
Otthon a tévézés már régen nem a magánszféráról szól. Az okostévék folyamatosan figyelik, mit nézel, majd ezt az adatot eladják más cégeknek, vagy éppen azért jelennek meg ugyanazok a hirdetések a telefonodon, a weben vagy a tévéden, amit előzőleg valamelyik online áruházban kerestél...
🔬 A Harvard Egyetem kutatói forradalmasítják a biotechnológiát: egy szilíciumchip már nemcsak információt dolgoz fel, hanem képes DNS-t is létrehozni...
💡 Régóta húzódó rejtély oldódott meg a kvantumfizika világában. Egy új elméleti keretrendszer először egyesíti két, egymásnak látszólag ellentmondó modellt arról, hogy miként viselkedik egy különösen szokatlan részecske a zsúfolt kvantumkörnyezetben...
Viharos nap a történelemben: pusztító földrengés Japánban, nagyhatalmi fordulatok Európában, mérföldkő a rabszolgaság felszámolásában, és modern kori sorsfordulók Dél-Szudán függetlenné válásáig...
Külön említést érdemel, hogy egy nemzetközi kutatócsoport forradalmi szimulációt dolgozott ki, amely mesterséges intelligenciát használ fel annak feltérképezésére, hogyan keletkeznek az univerzum legnehezebb elemei...
Ki gondolta volna, hogy az egyik legnépszerűbb sporttáplálék-kiegészítő nemcsak a testépítők kedvence lehet, hanem a rákkutatás egyik izgalmas eszközévé is válhat?..