Napadači koriste React2Shell i zlonamerne NGINX konfiguracije za preusmeravanje veb saobraćaja
Istraživači su opisali aktivnu kampanju u kojoj napadači kompromituju servere i ubacuju trajne NGINX proxy konfiguracije kako bi preusmeravali veb zahteve kroz sopstvenu infrastrukturu.
Pojašnjenje
Kada napadač dobije pristup veb serveru, ne mora odmah da „ruši“ sistem - dovoljno je da tiho preuzme tok saobraćaja i monetizuje ili zloupotrebi posetioce.
Preporuke
- Proveri integritet i istoriju izmena NGINX konfiguracija
- Ograniči i zaštiti pristup panelima za upravljanje serverima (npr. BT/Baota) i admin interfejsima
- Uvedi monitoring za reverse-proxy i rewrite pravila