黑客利用 React2Shell 漏洞攻击宝塔面板与 NGINX：流量被劫持至非法博彩网站

网络安全公司 Datadog 近日发布最新安全报告，指出黑客正在持续利用 React2Shell 漏洞（CVE-2025-55182） 对服务器发起攻击，目标集中在使用 宝塔面板（BT Panel） 与 NGINX 的网站管理员。攻击者成功入侵后，会篡改 NGINX 配置，将网站流量劫持到非法博彩网站。

攻击目标：亚洲顶级域名网站成为主要受害者

Datadog 的报告显示，黑客主要针对使用以下顶级域名的网站：

• .in（印度）

• .id（印度尼西亚）

• .pe（秘鲁）

• .bd（孟加拉）

• .th（泰国）

• .edu、.gov（教育与政府机构）

这些网站被入侵后，会出现随机跳转到非法博彩网站的情况，尤其是在用户通过搜索引擎访问时更容易触发。

黑客如何劫持流量？篡改 NGINX 配置是关键

黑客入侵服务器后，会修改 NGINX 配置文件，添加 proxy_pass 指令，将流量转发到攻击者控制的服务器。

由于 proxy_pass 是 NGINX 的常规配置指令，因此不会触发安全警告。

此外，黑客还会伪造请求头，例如：

• Host

• X-Real-IP

• User-Agent

• Referer

这些伪造信息让流量看起来“正常”，除非管理员主动检查配置文件，否则很难察觉异常。

多阶段攻击链：黑客使用脚本化工具包自动化入侵

Datadog 分析后发现，攻击者使用了一个多阶段脚本工具包，包含以下组件：

1. zx.sh — 初始控制脚本

• 下载并执行后续脚本

• 若 curl/wget 不可用，会通过 TCP 发送原始 HTTP 请求作为备用方案

2. bt.sh — 针对宝塔面板的注入脚本

• 定位宝塔管理的 NGINX 配置文件

• 根据 server_name 动态选择注入模板

• 覆盖配置并重启 NGINX

3. 4zdh.sh — 枚举常见 NGINX 配置目录

扫描路径包括：

• sites-enabled

• conf.d

• sites.available

4. zdh.sh — 精准定位脚本

• 专门针对 /etc/nginx/sites-enabled

• 特别关注 .in 与 .id 域名

5. ok.sh — 数据收集脚本

• 扫描已注入的配置

• 构建“被劫持域名 → 注入模板 → 代理目标”的映射

• 将数据回传至 C2 服务器

黑客的真正目的：利用网站流量牟利

这种攻击方式与常见的“挂马跳转”类似：

• 黑客利用漏洞入侵网站

• 在特定条件下（如搜索引擎访问）触发跳转

• 将用户导向非法博彩网站

• 通过流量变现获利

从攻击目标来看，黑客主要针对东南亚地区用户，但也出现了如 .pe（秘鲁） 这样的例外。

网站管理员如何应对？

这类攻击隐蔽性极强，若不主动检查配置文件，很难发现异常。因此建议：

• 定期检查 NGINX 配置文件

• 关注宝塔面板与 NGINX 的安全更新

• 及时修补 React2Shell 等相关漏洞

• 监控异常流量与跳转行为