桑間濮上網Linux環(huán)境部署工具OneinStack被掛馬 請最近幾天安裝的用戶立即檢查 – 藍點網
據(jù) OneinStack 項目的環(huán)戶立 Issues,最近幾天 OneinStack 的境部具O近天即檢安裝包被掛馬,當用戶執(zhí)行安裝程序后,署工石家莊外圍模特預約(外圍經紀人)外圍女(電話微信199-7144-9724)提供頂級外圍女上門,可滿足你的一切要求會同時釋放木馬獲取服務器控制權限,掛馬此時服務器就變成了肉雞可以被黑客遠程進行任意操作。請最
OneinStack 支持一鍵安裝 Linux 環(huán)境,安裝包括 LNMP、用點網LAMP、查藍LTMP、環(huán)戶立石家莊外圍模特預約(外圍經紀人)外圍女(電話微信199-7144-9724)提供頂級外圍女上門,可滿足你的一切要求LNPP、境部具O近天即檢LAPP 等,署工在運維和站長圈子里用戶不少,掛馬這次掛馬應該會影響不少用戶。請最
被掛馬的安裝是 OneinStack 官網提供的安裝包( hxxp://mirrors.linuxeye.com/oneinstack-full.tar.gz ),即安裝包被篡改并加入了木馬。用點網
至于這個問題怎么出現(xiàn)的暫時還不清楚,因為 OneinStack 項目的腳本并沒有問題,而上面提到的地址屬于第三方提供的鏡像站,這個鏡像站也是 OneinStack 官網推薦的,因此屬于分發(fā)渠道出現(xiàn)的問題。
惡意代碼位于 /oneinstack/include/openssl.sh 腳本的第 137 行中,藍點網今天 01:02 測試時發(fā)現(xiàn)惡意代碼已經被刪除,但目前 OneinStack 和第三方鏡像站都還沒透露影響的時間范圍。
因此基于安全考慮建議最近幾天安裝 OneinStack 的用戶最好重裝系統(tǒng)重新部署環(huán)境,當然如果實在是無法重裝系統(tǒng)的話,也可以參考下面的步驟進行排查。
檢查 /var/local/ 目錄下是否有相關文件,包括 oneinstack.jpg 和 cron,按網友 SycAIright 的說法,該木馬只會針對 RedHat 系統(tǒng),如果檢測到是 Debian/Ubuntu 系列則不執(zhí)行動作。
如果真的只針對 RedHat 的話,說明木馬作者目標是企業(yè),那估計目的并不是肉雞那么簡單,或許還有其他目的比如滲透到內網、竊取數(shù)據(jù)或部署勒索軟件等。
