PRINCIPAL DATA SECURITY CONSULTANT

Web Trafiğini Kötü Amaçlı Sunuculara Yönlendirmek için NGINX Sunucularını Hackleyen Tehdit Aktörleri

2 min read
3 gün ago Seyhan Tekelioğlu
Tehdit aktörlerinin web trafiğini kötü amaçlı hedeflere yönlendirmek için NGINX sunucularını gizlice tehlikeye attığı sofistike bir kampanya. Daha önce "React2Shell" açıklarından yararlanan saldırganlar, şimdi özellikle Asya'da yaygın olarak kullanılan Baota (BT) yönetim panelini kullanan NGINX yapılandırmalarını hedefliyor. Saldırı Nasıl Çalışır? Geleneksel kötü amaçlı yazılım yüklemek yerine, bu saldırganlar sunucunun meşru yapılandırma dosyalarını değiştirir. NGINX'in konum bloklarına kötü…

Tehdit aktörlerinin web trafiğini kötü amaçlı hedeflere yönlendirmek için NGINX sunucularını gizlice tehlikeye attığı sofistike bir kampanya. Daha önce "React2Shell" açıklarından yararlanan saldırganlar, şimdi özellikle Asya'da yaygın olarak kullanılan Baota (BT) yönetim panelini kullanan NGINX yapılandırmalarını hedefliyor. Saldırı Nasıl Çalışır?

Geleneksel kötü amaçlı yazılım yüklemek yerine, bu saldırganlar sunucunun meşru yapılandırma dosyalarını değiştirir. NGINX'in konum bloklarına kötü amaçlı direktifler ekleyerek, kullanıcı trafiğini engelleyebilir ve site sahibi hemen fark etmeden saldırgan tarafından kontrol edilen sunucular üzerinden yönlendirebilirler. NGINX saldırı akış şeması (kaynak: Datadog Security Labs)

Saldırının çekirdeği proxy_pass yönergesine dayanır. Bu standart NGINX özelliği, trafiği arka uç sunuculara (bir PHP uygulaması gibi) iletmek için tasarlanmıştır. The campaign uses a straightforward, automated workflow involving several shell scripts:

Script Name RolePrimary FunctionTarget zx.shThe OrchestratorInitializes environment and downloads required toolsActs as entry point for the attack chainbt.shBaota InjectorScans for Baota panel configs and injects malicious codeTargets /www/server/panel/vhost/nginx4zdh.shAdvanced InjectionInjects payload into NGINX configs after validationTargets generic Linux NGINX installszdh.shAdvanced InjectionSame as 4zdh.sh with config verificationCollects and uploads the hijacked domain listok.shExfiltrationActs as an entry point for the attack chainSends data to attacker C2 server

However, the attackers reconfigure it to send users to their own malicious domains, such as gambling or scam sites. Ayrıca, ele geçirilen trafiğin meşru görünümlü başlıkları koruduğundan emin olmak için proxy_set_header kullanırlar ve bu da yeniden yönlendirmenin standart günlüklerde algılanmasını zorlaştırır. location /%PATH %/{
set $ fullurl "$scheme ://$host$request_uri ";
yeniden yaz ^/%path %/?(.*) $ /index.

Kaynak: Cyber Security News

Yayin Tarihi: 05.02.2026 06:19

Bu haber otomatik olarak Ingilizceden Turkceye cevrilmistir.

Görüntülenme: 3
Tags:

Benzer Yazılar

2 min read

CISA, Fidye Yazılımı Saldırılarında Sömürülen VMware ESXi 0 Günlük Güvenlik Açığına Karşı Uyardı

3 saat ago Seyhan Tekelioğlu
2 min read

Amaranth – Dragon, Mağdur Sistemlerine Kalıcı Kazanç Sağlamak için WinRAR Kırılganlığını Sömürüyor

15 saat ago Seyhan Tekelioğlu
2 min read

PowerShell Komutlarını Yürütmek için ClickFix Komut Dosyasında DNS txt Kayıtlarını Kullanan Saldırganlar

1 gün ago Seyhan Tekelioğlu

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bunlara bir göz atın

2 min read

CISA, Fidye Yazılımı Saldırılarında Sömürülen VMware ESXi 0 Günlük Güvenlik Açığına Karşı Uyardı

3 saat ago Seyhan Tekelioğlu
2 min read

Amaranth – Dragon, Mağdur Sistemlerine Kalıcı Kazanç Sağlamak için WinRAR Kırılganlığını Sömürüyor

15 saat ago Seyhan Tekelioğlu
2 min read

PowerShell Komutlarını Yürütmek için ClickFix Komut Dosyasında DNS txt Kayıtlarını Kullanan Saldırganlar

1 gün ago Seyhan Tekelioğlu
2 min read

Teknik Destek Dolandırıcılık Kitini Zorlamak için Facebook Ücretli Reklamlarını Kötüye Kullanan Yeni 3 Adımlı Kötü Reklam Zinciri

2 gün ago Seyhan Tekelioğlu