據(jù) OneinStack 項目的環(huán)戶立 Issues,最近幾天 OneinStack 的境部具O近天即檢安裝包被掛馬,當用戶執(zhí)行安裝程序后,署工昆明外圍(外圍模特)電話微信199-7144-9724誠信外圍,十年老店會同時釋放木馬獲取服務(wù)器控制權(quán)限,掛馬此時服務(wù)器就變成了肉雞可以被黑客遠程進行任意操作。請最
OneinStack 支持一鍵安裝 Linux 環(huán)境,安裝包括 LNMP、用點網(wǎng)LAMP、查藍LTMP、環(huán)戶立昆明外圍(外圍模特)電話微信199-7144-9724誠信外圍,十年老店LNPP、境部具O近天即檢LAPP 等,署工在運維和站長圈子里用戶不少,掛馬這次掛馬應(yīng)該會影響不少用戶。請最
被掛馬的安裝是 OneinStack 官網(wǎng)提供的安裝包( hxxp://mirrors.linuxeye.com/oneinstack-full.tar.gz ),即安裝包被篡改并加入了木馬。用點網(wǎng)
至于這個問題怎么出現(xiàn)的暫時還不清楚,因為 OneinStack 項目的腳本并沒有問題,而上面提到的地址屬于第三方提供的鏡像站,這個鏡像站也是 OneinStack 官網(wǎng)推薦的,因此屬于分發(fā)渠道出現(xiàn)的問題。
惡意代碼位于 /oneinstack/include/openssl.sh 腳本的第 137 行中,藍點網(wǎng)今天 01:02 測試時發(fā)現(xiàn)惡意代碼已經(jīng)被刪除,但目前 OneinStack 和第三方鏡像站都還沒透露影響的時間范圍。
因此基于安全考慮建議最近幾天安裝 OneinStack 的用戶最好重裝系統(tǒng)重新部署環(huán)境,當然如果實在是無法重裝系統(tǒng)的話,也可以參考下面的步驟進行排查。
檢查 /var/local/ 目錄下是否有相關(guān)文件,包括 oneinstack.jpg 和 cron,按網(wǎng)友 SycAIright 的說法,該木馬只會針對 RedHat 系統(tǒng),如果檢測到是 Debian/Ubuntu 系列則不執(zhí)行動作。
如果真的只針對 RedHat 的話,說明木馬作者目標是企業(yè),那估計目的并不是肉雞那么簡單,或許還有其他目的比如滲透到內(nèi)網(wǎng)、竊取數(shù)據(jù)或部署勒索軟件等。
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
