A nagy NGINX-átverés: titokban eltérített szerverek
Egy új, kifinomult támadássorozatban hackerek sikeresen kompromittálnak NGINX-szervereket, hogy a felhasználói forgalmat titokban a saját háttér-infrastruktúrájukra irányítsák át. Az NGINX egy népszerű, nyílt forráskódú webszerver-kezelő szoftver, amelyet terheléselosztásra, gyorsítótárazásra, valamint proxyfeladatokra is széles körben használnak.
A támadás célpontjai és működése
A DataDog Security Labs kutatói által felfedezett kampány főként ázsiai végződésű domaineken (.in, .id, .pe, .bd, .th), valamint kormányzati és oktatási oldalakon (.edu, .gov) működő NGINX-konfigurációkat, illetve a Baota menedzsmentpanellel rendelkező szervereket célozza meg. A támadók meglévő NGINX-konfigurációs fájlokat módosítanak: rosszindulatú „location” blokkokat fecskendeznek be, amelyek a kiválasztott URL-eken keresztül érkező kéréseket elkapják, majd az eredeti URL-t újraírják, és a „proxy_pass” direktívával a saját, a támadók által kezelt domainekre irányítják tovább. Eközben a forgalom látszólag érintetlen marad, hiszen az olyan fejlécadatok, mint a Host, X-Real-IP, User-Agent és Referer is megmaradnak, ezzel legitimnek tűnik az adatforgalom.
Ötlépcsős támadó eszközkészlet
A támadássorozat egy ötlépcsős, szkripteket használó eszközkészlettel megy végbe. Az első lépés egy irányító szkript (zx.sh), amely letölti és futtatja a többi lépcsőt; ha nincs curl vagy wget, akkor nyers HTTP-kérést küld TCP-n keresztül. A második szkript (bt.sh) a Baota-paneles NGINX-fájlokat célozza, dinamikusan választ injektálási sablont, és újratölti az NGINX-et a leállás elkerülésére. A harmadik lépés (4zdh.sh) a leggyakoribb konfigurációs elérési útvonalakat pásztázza a rendszer meghibásodásának elkerülésére, és csak akkor tölti újra a szolgáltatást, ha a módosítás hibátlan. A negyedik szkript (zdh.sh) főként a /etc/nginx/sites-enabled könyvtárat és .in, .id domaineket céloz, szükség esetén kényszerített újraindítást végez az NGINX-en. Az ötödik lépés (ok.sh) összerendeli a megszerzett domaineket és sablonokat, majd mindent egy C2-szerverre (158.94.210.227) küld.
A támadás nem az NGINX egy sebezhetőségét használja ki, hanem elrejtett utasításokkal módosítja a konfigurációs fájlokat. Ezért a szerverüzemeltetők gyakran észre sem veszik a történteket, hiszen a forgalom többsége akadálytalanul eljut a valódi célhoz – a csaló infrastruktúrán való áthaladást így alig lehet észrevenni, ha nincs speciális forgalomelemzés.
Ez a jelenség jól illusztrálható azzal, hogy időnként akár 40 perccel többet is ki tudsz hozni egy napból – egy másik napon viszont már a legegyszerűbb feladatok is nehezedre eshetnek...
A NASA Hold-bázisának hosszú távú működéséhez nélkülözhetetlen lesz az atomenergia, hiszen a Holdon a nappal és az éjszaka egyaránt körülbelül 14-14 földi napig tart...
🔴 Több mint harminc WordPress-bővítményt tartalmazó EssentialPlugin-csomagot rosszindulatú kóddal kompromittáltak, amely jogosulatlan hozzáférést biztosít a telepített weboldalakhoz...
💉 A mai MI-modellek egyre több tanácsot adnak a legkülönfélébb élethelyzetekben, az egészséggel kapcsolatos kérdésektől kezdve egészen a legsúlyosabb állapotokig...
😡 Fontos kérdés, hogy mi adja az MI-fejlesztések valós értékét, amikor az amerikai lakosság egyre szkeptikusabb a technológia jövőjével kapcsolatban...
Jellemző, hogy az élő zene világa mostanában nagy hullámokat vet: miközben egyes fesztiválok elképesztő koncertekkel indították a szezont, a jegyértékesítő óriásokat súlyos vádak érték a közönség kizsákmányolása miatt...
A Lenovo ThinkPad sorozata szinte egyet jelent a céges laptopok világával; a legendás gépek már az IBM aranykorában is ipari sztenderdnek számítottak, és a Lenovo 20 évvel ezelőtti átvétele óta ez a helyzet csak tovább erősödött...
Röviden: ikonikus fordulópontok sora esett erre a napra a történelemben – Masada eleste, a Battle of Culloden (Cullodeni csata), Lenin hazatérése és a Rapallói szerződés mind mély nyomot hagytak...
🤔 A közelmúltban komoly aggodalomra adott okot, hogy a GitHubon futó népszerű MI-ügynökök könnyedén kicsalhatják a felhasználók hitelesítő adatait anélkül, hogy erről megfelelő figyelmeztetést kapnának az érintettek...
🔒 Előfordul, hogy a legfrissebb Windows Server 2025 frissítések telepítése után egyes szerverek BitLocker-helyreállítási módba lépnek, és a rendszer a helyreállítási kulcs megadását kéri...
A Windows Task Host nevű rendszerkomponens súlyos sérülékenysége miatt ismét veszélybe kerülhetnek a felhasználók és szervezetek: a sebezhetőség kihasználásával rosszindulatú támadók akár teljes rendszergazdai jogosultságot szerezhetnek a megfertőzött eszközökön...
Az Amerikai Szövetségi Légügyi Hivatal (FAA) hivatalosan is jóváhagyta a drónok elleni nagyenergiájú lézerfegyverek bevetését az Egyesült Államok légterében...
💻 Érdemes megvizsgálni, hogy mennyivel könnyebb és gyorsabb lett a Google Gemini használata Macen: mostantól nem kell böngészőt nyitni, elég letölteni a natív macOS-alkalmazást – így közvetlenül az asztalról indítható a Google MI-chatbotja...
Az Adobe ma új korszakot nyitott a kreativitásban: bemutatta a vadonatúj Firefly MI Assistantot, amely képes egyszerre irányítani a cég összes zászlóshajó-alkalmazását – legyen szó Photoshopról, Premieréről vagy Illustratorról...
A kutatók egyik legnagyobb kihívása az, hogy miként azonosítható az élet idegen bolygókon, amikor a klasszikus jelek, például a biomarkerek vagy bizonyos gázok, más folyamatokból is származhatnak...
Az a miniatűr e-könyv-olvasó, amelyet egy lelkes YouTuber, Paul Lagier fejlesztett ki 3D-nyomtatott házzal és házilag összeállítható elektronikai alkatrészekkel, alig nagyobb egy felnőtt hüvelykujjánál...
Ebből következően érdemes megérteni, hogy a Windows 11 most egy meglepően alap, de annál kényelmesebb funkcióval bővült: egy kicsi, ötletes segédprogrammal, amely leveszi az állandó ablakzsonglőrködés terhét, főleg, ha túl sok program fut egyszerre...
