据 OneinStack 项目的 Issues,最近几天 OneinStack 的安装包被挂马,当用户执行安装程序后,会同时释放木马获取服务器控制权限,此时服务器就变成了肉鸡可以被黑客远程进行任意操作。
OneinStack 支持一键安装 Linux 环境,包括 LNMP、LAMP、LTMP、LNPP、LAPP 等,在运维和站长圈子里用户不少,这次挂马应该会影响不少用户。
被挂马的是 OneinStack 官网提供的安装包( http://mirrors.linuxeye.com/oneinstack-full.tar.gz ),即安装包被篡改并加入了木马。
至于这个问题怎么出现的暂时还不清楚,因为 OneinStack 项目的脚本并没有问题,而上面提到的地址属于第三方提供的镜像站,这个镜像站也是 OneinStack 官网推荐的,因此属于分发渠道出现的问题。
恶意代码位于 /oneinstack/include/openssl.sh 脚本的第 137 行中,蓝点网今天 01:02 测试时发现恶意代码已经被删除,但目前 OneinStack 和第三方镜像站都还没透露影响的时间范围。
因此基于安全考虑建议最近几天安装 OneinStack 的用户最好重装系统重新部署环境,当然如果实在是无法重装系统的话,也可以参考下面的步骤进行排查。
检查 /var/local/ 目录下是否有相关文件,包括 oneinstack.jpg 和 cron,按网友 SycAIright 的说法,该木马只会针对 RedHat 系统,如果检测到是 Debian/Ubuntu 系列则不执行动作。
如果真的只针对 RedHat 的话,说明木马作者目标是企业,那估计目的并不是肉鸡那么简单,或许还有其他目的比如渗透到内网、窃取数据或部署勒索软件等。
原创文章,作者:陌涛,如若转载,请注明出处:https://imotao.com/7390.html
