2026-02-08 00:32:34 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 网络安全公司DATADOG报告显示，黑客正利用React2Shell漏洞(CVE-2025-55182)批量攻击宝塔面板管理的NGINX服务器，得手后通过篡改配置注入proxy_pass指令劫持流量至非法博彩网站，主要影响亚洲及南美洲地区域名。攻击使用zx.sh、bt.sh等多阶段脚本工具包实现自动化渗透，具备较高隐蔽性。建议立即修复漏洞、核查NGINX配置文件删除异常转发规则、重启服务验证，并加强访问控制与日志审计，修改面板密码与SSH密钥防止二次入侵。 综合评分： 78 文章分类： 漏洞预警,应急响应,安全运营,WEB安全,漏洞分析

cover_image

【安全圈】突发！BT面板Nginx服务器遭批量攻击

安全圈

2026年2月7日 15:19 江苏

关键词

黑客攻击

一、事件核心概况

据网络安全公司DATADOG发布的安全报告显示，黑客正利用React2Shell 漏洞（CVE-2025-55182，远程代码执行类漏洞） 发起针对性攻击，宝塔面板及NGINX 服务器成为主要攻击目标，得手后黑客会篡改服务器配置，将网站流量劫持至非法博彩网站，目前攻击已覆盖多个地区域名。

二、攻击目标与影响范围

1、核心受攻击载体：使用宝塔面板管理的 NGINX 服务器，宝塔面板为国内常用免费服务器图形化管理工具，NGINX 为业界广泛使用的开源反向代理服务器；
2、针对性域名：亚洲顶级域名搭建的网站，包含.in（印度）、.id（印尼）、.bd（孟加拉）、.th（泰国）、.edu、.gov，同时涉及南美洲秘鲁.pe 域名；
3、影响后果：被攻击网站的流量会随机跳转到非法博彩网站，尤其搜索引擎访问时跳转概率更高，网站运营者会丢失正常流量，同时用户访问体验受损，还可能面临合规风险。

三、黑客攻击核心手法

1. 配置篡改：隐蔽注入流量转发指令

黑客利用 NGINX 原生proxy_pass 指令（流量转发常用指令）添加转发模块，因该指令为正常功能，不会触发安全警告；同时伪造Host、X-Real-IP、User-Agent、Referer等合法请求头，若无人工检查配置文件，极难发现篡改痕迹。

2. 多阶段脚本工具包：自动化批量渗透

黑客使用包含zx.sh、bt.sh、4zdh.sh、zdh.sh、ok.sh的脚本化工具包，实现自动化 NGINX 配置注入，各脚本分工明确：

zx.sh：初始控制脚本，负责下载并执行其他脚本，含备用下载机制，curl/wget 不可用时通过 TCP 发送 HTTP 请求；
bt.sh：针对性攻击宝塔面板，根据 server_name 值动态注入配置模板并覆盖，重启 NGINX 使配置生效；
4zdh.sh：枚举 NGINX 常见配置文件位置（sites-enabled/conf.d/sites.available 等）；
zdh.sh：精准定位 /etc/nginx/sites-enabled 文件，重点针对.in/.id 域名；
ok.sh：扫描已注入的配置，收集被劫持域名信息并传送至黑客 C2 服务器（远程控制服务器）。

四、核心防护与应急处置方案

▌通用版（所有宝塔 / NGINX 服务器运营者必做）

立即修复漏洞：核查服务器是否存在 React2Shell 漏洞（CVE-2025-55182），前往宝塔面板后台、NGINX 官方下载对应修复补丁 / 更新至最新安全版本；
检查配置文件：重点核查 NGINX 的 sites-enabled、conf.d、sites.available 目录下配置文件，删除陌生的 proxy_pass 转发指令及异常请求头配置；
重启验证：修改配置后重启 NGINX 服务，访问网站测试是否存在异常跳转，同时检查访问日志，排查陌生 IP 的异常访问记录。

▌专业版（运维 / 技术人员进阶防护）

限制脚本执行权限：禁止服务器中匿名用户执行 sh、bash 等脚本文件，对 zx.sh、bt.sh 等可疑脚本名称设置拦截规则；
监控 C2 服务器通信：通过防火墙、入侵检测系统拦截服务器与境外陌生 IP 的通信，重点监控东南亚、南美洲地区异常 IP；
加固宝塔面板：修改宝塔面板默认登录端口、开启二次验证，删除非运维人员的面板操作权限，关闭不必要的远程访问功能；
开启日志审计：开启 NGINX 和宝塔面板的全量日志审计，对配置文件修改、脚本执行等操作做实时告警，第一时间发现异常行为。

▌温馨提示

若发现网站已被劫持，除修复配置外，需立即修改宝塔面板、服务器登录密码，更换 SSH 密钥，避免黑客二次入侵；
非技术型运营者可联系服务器服务商，请求协助做漏洞检测和配置核查，切勿自行修改配置避免引发新问题；
此次攻击暂未发现针对普通个人用户设备的风险，个人上网遇到网站跳转博彩页面，直接关闭即可，无需过度担心。

关注我，第一时间获取服务器安全防护最新技巧，转发给身边的网站运营 / 运维同行，一起筑牢服务器安全防线！

END

阅读推荐

【安全圈】阿里30亿红包分发首日，千问App“崩了”

【安全圈】微软Azure突发10小时全球宕机！

【安全圈】罗马大学遭网络攻击：欧洲最大规模大学之一，计算机系统瘫痪数日

【安全圈】豆瓣又双叒叕崩了

【安全圈】迅雷下载暗藏猫腻：用户ISO镜像遭替换，捆绑大量推广软件

安全圈

←扫码关注我们

网罗圈内热点专注网络安全

实时资讯一手掌握！

好看你就分享有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈《【安全圈】突发！BT面板Nginx服务器遭批量攻击》