Хакеры начали взламывать серверы Nginx для перенаправления пользовательского трафика

Злоумышленники начали взламывать серверы Nginx в рамках кампании, которая перехватывает пользовательский трафик и перенаправляет его.

Nginx — это программное обеспечение с открытым исходным кодом для управления веб-трафиком. Оно выступает посредником между пользователями и серверами и используется для веб-серверов, балансировки нагрузки, кэширования и обратного проксирования.

Вредоносная кампания, обнаруженная исследователями из DataDog Security Labs, нацелена на установки Nginx и панели управления хостингом Baota, используемые сайтами с азиатскими доменами верхнего уровня (.in, .id, .pe, .bd и .th), а также правительственными и образовательными сайтами (.edu и .gov).

Злоумышленники изменяют существующие конфигурационные файлы Nginx, внедряя вредоносные блоки «location», которые перехватывают входящие запросы по выбранным URL-адресам. Затем они переписывают их, чтобы включить полный исходный URL, и перенаправляют трафик через директиву «proxy_pass» на контролируемые домены. Используемая директива обычно применяется для балансировки нагрузки, позволяя Nginx перенаправлять запросы через альтернативные группы бэкенд-серверов для повышения производительности или надёжности; следовательно, её использование не вызывает никаких предупреждений безопасности.

Заголовки запроса, такие как «Host», «X-Real-IP», «User-Agent» и «Referer», сохраняются, чтобы трафик выглядел легитимным.

Атака использует скриптовый многоэтапный инструментарий для внедрения конфигурации Nginx. Инструментарий работает в пять этапов:

этап 1 – zx.sh: действует как начальный скрипт контроллера, отвечающий за загрузку и выполнение остальных шагов. Он включает механизм резервного копирования, который отправляет необработанные HTTP-запросы по TCP, если curl или wget