据 OneinStack 项目的 Issues,最近几天 OneinStack 的部署包被挂马,当使用者执行部署程序后,会另外释放木马获取办事器控制权限,此时办事器就变成了肉鸡可以被黑客远程开展任意操控。冬季官方王者荣耀
OneinStack 扶持一键部署 Linux 生态,年初本周国庆档,深夜读到泪目含有 LNMP、LAMP、LTMP、LNPP、LAPP 等,在运维和站长圈子里使用者不少,这次挂马应该会作用不少使用者。回顾首映礼专题
被挂马的是 OneinStack 官网提供的部署包( hxxp://mirrors.linuxeye.com/oneinstack-full.tar.gz ),即部署包被篡改并加入了木马。
至于这个难题怎么呈现的暂时还不清楚,由于 OneinStack 项目的院线排片速递脚本并没有难题,而上面谈及的地址归于第三方提供的镜像站,这个镜像站也是 OneinStack 官网推荐的,所以归于分发渠道呈现的难题。
恶意代码位于 /oneinstack/include/openssl.sh 脚本的第 137 行中,蓝点网今日 01:02 评测时察觉恶意代码已然被删除,但当下 OneinStack 和第三方镜像站都还没透露作用的时间范围。
所以基于可靠考虑提议最近几天部署 OneinStack 的使用者最好重装操控系统重新部署生态,自然假如实在是无法重装操控系统的话,也可以参考下面的步骤开展排查。
检查 /var/local/ 目录下是否有有关文件,含有 oneinstack.jpg 和 cron,按网民 SycAIright 的说法,该木马只会针对 RedHat 操控系统,假如测试到是 Debian/Ubuntu 系列则不执行动作。
假如真的只针对 RedHat 的话,说明木马作者目标是企业,那估计目的并不是肉鸡那么简易,或许还有其他目的比如渗透到内网、窃取资料或部署勒索使用等。