文章总结： 据Datadog实验室2026年2月4日发布的报告显示，黑客利用React2Shell漏洞(CVE-2025-55182)对宝塔面板及NGINX服务器发起批量攻击，通过注入恶意配置将亚洲顶级域名(.in/.id/.pe/.bd/.th)及政府教育类域名(.edu/.gov)的流量劫持至非法博彩网站。攻击者使用zx.sh、bt.sh、4zdh.sh等多阶段脚本工具包自动化渗透，bt.sh专门针对宝塔面板的/www/server/panel/vhost/nginx路径。报告建议升级React至19.2.1+或Next.js至15.5.7+，审计NGINX配置并实施文件完整性监控。 综合评分： 78 文章分类： 漏洞分析,应急响应,安全运营,威胁情报,WEB安全

网传BT面板突遭黑产批量攻击

原创

DATADOG DATADOG

表哥带我

2026年2月7日 16:04 广东

❝

由于传播、利用本公众号”表哥带我”所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责。本文选材源于DATADOG。

据DATADOG实验室于2026年2月4日发布的报告显示识别出大量React2Shell漏洞利用相关的攻击活动,该攻击活动旨在利用恶意的NGINX配置劫持网络流量。

根据报告内容，攻击活动实际上发生在2025年12月，Datadog Security Labs是在2026年2月4日才发布详细分析报告，属于事后披露和深度技术分析，而非实时预警，应当是被部分公众号误解了发生时间。

报告指出宝塔面板及NGINX服务器成为主要攻击目标，黑客通过攻击篡改服务器配置，将网站流量劫持至非法博彩网站。

该黑客活动面向亚洲顶级域名(.in、.id、.pe、.bd、.th)、云上托管的一些基础设施(Baota Panel)以及政府和教育类顶级域名(.edu,.gov)等目标。

根据该实验室的调查发现，黑客利用React2Shell漏洞(CVE-2025-55182)获得的初始访问权限。

在调查过程中发现了攻击者用于自动向 NGINX 注入恶意配置的多个 shell 脚本。根据这些工具包脚本中的模板逻辑,恶意配置通常遵循以下所述结构。

在这种情况下,路径变量和proxy_pass恶意配置中的指令是动态识别的,并根据攻击者成功劫持的特定域名进行替换。

下表显示了哪些TLD和路径对将被发送到攻击者的代理域中:

| 模板 | 顶级域名 | 路径 | 代理域名 | | — | — | — | — | | TH | .edu,.gov,.vn,.th | pg “pgslot” “老虎*” “游戏” “*场” “实时播放” | th.cogicpt.org | | 在 | .in,.id,.pe,.bd | pg “pgslot” “老虎*” “游戏” “*场” “实时播放” | ide.hashbank8.com | | COM | * | 帮助“新闻”页面“博客”关于“支持”“信息” | xzz.pier46.com |

zx.sh是 NGINX 注入工具包的第一阶段

bt.sh通过输入特定的配置文件路径来针对Baota(BT)管理面板环境:/www/server/panel/vhost/nginx。

识别目标后,脚本会先检查配置文件是否用于任何先前的恶意代理域,然后继续进行注入。配置文件使用server_name变量(包含完整域名),可动态选择注入模板。此选择基于顶级域(TLD),并包含基于硬编码路径变量的随机选择路径。

4zdh.sh脚本采用的输出和错误处理技术比bt.sh更广泛。

该脚本针对常见的 Nginx 配置位置,例如/etc/nginx/sites-enabled,/etc/nginx/conf.d并且/etc/nginx/sites-available除了寻找宝塔管理面板外。

报告指出建议升级React至19.2.1+或Next.js至15.5.7+；审计NGINX配置目录，删除陌生proxy_pass指令；修改宝塔默认端口，启用二次验证；对/etc/nginx/**实施文件完整性监控；限制服务器与境外IP通信。

其他阅读：

字节海外中国籍员工直呼扎心

【吃瓜】某三中监控被“黑客入侵”放片

服务器爆满，下单奶茶被千问“拉黑”

【吃瓜】下头X为了千问助力脸都不要了

快手出现大量低俗内容被罚1.191亿

用泄露的爱泼斯坦邮箱拿下微软365个人版

【AI大战】继豆包后阿里送出30亿免单卡

【吃瓜】秒挖高危洞的手机黑客临幸补天6群

网传海角社区泄露1570万条用户数据

【吃瓜】Telegram大量用户数据泄露

Notepad++遇国家级APT投毒定向百万设备

停用一批境外厂商的网络安全软件

左侧长按加入

吃瓜交流群

动态入群二维码

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：表哥带我 DATADOG DATADOG《网传BT面板突遭黑产批量攻击》