国庆假期回来看到军哥 lnmp 被挂马的消息,前天又看到 oneinstack 被挂马。原因都是被某家公司收购后在脚本中投毒。根据种种迹象,这次挂马并非是被攻击者攻击,而是作者主动或者在作者的配合下主动挂马,实在恶劣。为了避免隐患,作为技术菜鸟的我昨天不得不花了几乎一天时间从官方源安装并配置了 VPS 上的相关程序。过程中看的教程很多,最好的还是这篇:How to Install LEMP Stack (Nginx, PHP and MariaDB) on Debian 12。
这些一键脚本的用户群主要是个人站长,有运维人员的公司一般不会用,这可能就是这家公司和这几个作者有胆量敢干这种事的原因。至于后续如何,应该不会有什么后续。
文件名:lnmp2.0.tar.gz
正常文件MD5:
1236630dcea1c5a617eb7a2ed6c457ed
被投毒文件MD5:
40bdcf7fd65a035fe17ee860c3d2bd6e
通过文章来看,官网挂的 md5 貌似是没被投毒的。是下载文件被替换了,没更新 md5 值?
之前被投毒的包就是官网下载的,现在改回去了。这个事情绝对是故意的,因为lnmp.org和oneinstack一样,都是被收购后几乎同时出现这种事。而且挂的马的行为都是一样的,检测是否是 redhat 系的系统植入病毒。
这有点恶心了,不过倒是符合那些流氓的特质。
看了一下都是第三方源的问题?还是得用官方源,不要迷信镜像
官方投毒。
个人观点:lnmp.org 本身就是第三方了。linuxeye.com 更是三方的三方
我说的官方是指这个脚本的制作方。这种脚本都是从源码编译安装的,跟从源安装不一样。