2026 年 6 月中旬,开源服务器监控领域知名的“哪吒探针”(Nezha Dashboard)遭遇了自发布以来最严重的安全危机。据网络安全公司 Darktrace 的官方博文披露,攻击者已经成功将这一广受欢迎的监控工具转化为隐蔽的持久化后门。通过复杂的 Docker 容器逃逸技术,黑客正在全球范围内(尤其是中文技术圈)批量植入修改过的安装脚本,受害服务器会自动注册 Agent 并回连至黑客掌控的控制面板。
逻辑判断漏洞:字符串前缀匹配的代价
此次漏洞的核心在于 Dashboard 的后端处理程序逻辑。根据 GitHub 官方安全公告 GHSA-5c25-7vpj-9mqh 的技术细节,哪吒探针的 NoRoute 处理程序(fallbackToFrontend)在判断请求是否为前端静态资源时,使用了 strings.HasPrefix(c.Request.URL.Path, "/dashboard") 进行过滤。
这是一个极其隐蔽的编程错误。由于该逻辑执行的是字符串前缀匹配而非路径段匹配,导致类似于 /dashboard../xxx 的请求也能绕过认证。当后端随后通过 strings.TrimPrefix 和 path.Join 处理路径时,路径中的 .. 会被规范化处理,从而允许攻击者跳出预设的静态资源目录 admin-dist,读取工作目录下的任意敏感文件。即便 Go 语言的 http.ServeFile 内置了一定的路径安全防护,但在这种“前缀粘连”的特定绕过方式面前也显得无能为力。
目前的利用方法已经公开,攻击者只需通过简单的 curl 命令,例如使用 --path-as-is 参数访问 http://target:port/dashboard../data/config.yaml,即可获取包含 jwt_secret_key 在内的核心敏感信息。
社区惨状:大量 VPS 因滥用被封禁
随着漏洞的扩散,负面影响已迅速蔓延至终端用户。在中文技术交流社区 NodeSeek 上,大量用户反馈称,其持有的 VPS 服务器因为突然产生巨量恶意流量,收到了来自甲骨文(Oracle Cloud)、搬瓦工等知名主机商的“滥用投诉”(Abuse Complaint),导致服务器被直接暂停甚至删除。
Darktrace 的监测数据显示,目前全球已有至少 141 台服务器被确认为感染节点,其中 45 台至今仍处于在线活跃状态。这些机器大多是配置较低的入门级 VPS,却被黑客串联成了庞大的 C2 网络。由于哪吒探针默认支持公开查看主机列表,攻击者甚至无需认证即可筛选目标,将受控主机信息暴露在公网上。
站长自救指南:不仅仅是升级
针对此次紧急事态,哪吒探针开发者已火速发布了 v2.0.13 正式版本。安全专家强烈建议所有使用该工具的站长执行以下操作:
- 立即升级:将 Dashboard 容器或二进制文件更新至 2.0.13 或更高版本。
- 轮换密钥:由于历史
config.yaml可能已被读取,站长必须手动更改jwt_secret_key,以防止黑客利用旧密钥通过权限验证。 - 强化认证:禁用简单的密码登录,全面转向 GitHub 或 Google 的 OAuth 认证,并从面板设置中关闭高风险的“SSH 执行”功能。
- 彻底清理:如果发现服务器流量异常或存在未知 Agent 进程,建议使用 GitHub 上流传的开源清理脚本,或最稳妥地选择重装操作系统。
目前,GitHub 社区已对相关 PR 进行了紧急合并,强化了路径匹配的安全边界。对于广大个人站长而言,开源工具的便利性往往伴随着风险,保持版本同步更新并关注上游安全公告,已成为运维过程中的必修课。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️