近期,开源一键环境搭建脚本LNMP(lnmp.org)和Oneinstack(oneinstack.com)被发现其下载安装包中可能含有恶意代码。这对于广泛使用这些工具的服务器运维人员和公司来说是一个严重的安全隐患。
9月中旬份,安恒信息发现从LNMP官网下载的安装包中的init.sh文件被植入了一个名为lnmp.sh的恶意脚本。该程序在RedHat系统上运行后,会继续下载并执行其他恶意文件,并通过crond服务实现持久化控制。调查发现,与官网提供的MD5值不同的安装包才包含有恶意代码。
类似的,Oneinstack的安装包也被发现包含恶意代码。下载的安装包MD5值与官网不一致,其configure文件包含了会下载并执行恶意文件的命令。
根据网友发现,LNMP和Oneinstack都被金华市矜贵网络科技有限公司收购,其旗下有WDCP面板,该面板也是类似于lnmp的一键环境搭建脚本但是带有网页操作面板。尽管含恶意代码事件曝光后,LNMP、OneinStack在其官网未发现含有明显的相关声明警告,如果有使用WDCP面板的也许需要慎重考虑。LNMP和Oneinstack被收购后接连被发现含有恶意代码,此事件是服务器被黑还是有预谋地插入后门就不得而知了。
本次事件表明,开发者和用户需要提高安全警惕,重视软件下载校验,关注所用工具的最新安全动态。
本文参考:
安恒信息微信公众号:https://mp.weixin.qq.com/s/OT7C1l5rjBNCawFXRIUJOQ
OneinStack github issues:https://github.com/oneinstack/oneinstack/issues/511
本站文章除注明转载/出处外,均为本站原创或翻译,如若转载,请注明出处。