设为首页收藏本站
切换到宽版

全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

全球主机交流论坛»论坛 主机综合交流 美国VPS综合讨论 关于LNMP供应链投毒事件风险提示
CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
1234下一页
返回列表 发新帖
查看: 6073|回复: 32

关于LNMP供应链投毒事件风险提示

[复制链接]
ccxiaoshi
发表于 2023-9-20 18:34:24 | 显示全部楼层 |阅读模式
本帖最后由 ccxiaoshi 于 2023-9-20 18:40 编辑

事件公告

近日,安恒信息CERT监测到一起LNMP遭受供应链投毒攻击事件。我们发现,在lnmp.org官方网站下载的安装包中被植入了恶意程序。至今,大部分威胁情报平台尚未标记相关的恶意IoC情报。建议近期在lnmp.org官网下载并部署LNMP的RedHat系统用户进行自查。

事件分析

LNMP一键安装包是一个用Linux Shell编写的可以为CentOS/Debian/Ubuntu等或独立主机安装LNMP(Nginx/MySQL/PHP)、LNMPA(Nginx/MySQL/PHP/Apache)、LAMP(Apache/MySQL/PHP)生产环境的Shell程序。

lnmp.org官网网站下载的安装程序(lnmp2.0.tar.gz,40bdcf7fd65a035fe17ee860c3d2bd6e)中,lnmp2.0\include\init.sh被攻击者植入恶意代码。

其中lnmp.sh是被植入的恶意二进制程序,执行后首先会判断系统是否为RedHat服务器,随后从download.lnmp.life下载并解压恶意文件至/var/local/cron,通过crond服务实现持久化。

通过crond进程建立DNS隧道通信。

自查方法

1、检查下载安装程序文件的MD5值是否与官网一致

文件名:lnmp2.0.tar.gz

正常文件MD5:

1236630dcea1c5a617eb7a2ed6c457ed

被投毒文件MD5:

40bdcf7fd65a035fe17ee860c3d2bd6e

2、检查/usr/sbin/crond文件完整性,检查/usr/sbin/crond文件近期是否被更改:

stat /usr/sbin/crond

rpm -Vf /usr/sbin/crond

https://mp.weixin.qq.com/s/OT7C1l5rjBNCawFXRIUJOQ
回复

举报

水牛
发表于 2023-9-20 19:35:56 | 显示全部楼层
推荐比LNMP更好用的oneinstack

https://oneinstack.com/install/
回复 支持 2 反对 3

举报

花落无声
发表于 2023-9-20 23:35:40 来自手机 | 显示全部楼层
本帖最后由 花落无声 于 2023-9-20 23:43 编辑
水牛 发表于 2023-9-20 19:35
推荐比LNMP更好用的oneinstack

https://oneinstack.com/install/


这个也被投毒过,https://m.freebuf.com/articles/web/366535.html
回复 支持 3 反对 0

举报

ccxiaoshi
 楼主| 发表于 2023-9-20 19:54:02 | 显示全部楼层
本帖最后由 ccxiaoshi 于 2023-9-20 19:57 编辑
lonefly 发表于 2023-9-20 19:40
不一样噢,要不我咋会说中招了
最新稳定版本:


我发现了,我 FQ 用的是香港梯子,网页下面会显示 金华市矜贵网络科技有限公司,下载地址是http://soft.lnmp.com/lnmp/lnmp2.0.tar.gz,这个是李鬼网站啊。不 FQ 下载地址是http://soft.vpser.net/lnmp/lnmp2.0.tar.gz 是正确的
回复 支持 3 反对 0

举报

superEric
发表于 2023-9-21 01:22:28 | 显示全部楼层
检查程序:

代码开源: https://github.com/minroute/lnmp-checker


# 下载
wget -c https://github.com/minroute/lnmp-checker/releases/download/v1/lnmp_checker

# 给执行权限
chmod +x lnmp_checker

# 检测
./lnmp_checker
回复 支持 2 反对 0

举报

louiejordan
发表于 2023-9-20 23:41:59 | 显示全部楼层
如果是Debian系统是不是就没事了
回复 支持 1 反对 0

举报

beixiaoqian
发表于 2023-9-20 18:57:24 | 显示全部楼层
刚检测了我的 安装包 MD5 跟官方和异常的都不一样
回复 支持 1 反对 0

举报

lonefly
发表于 2023-9-20 18:37:29 | 显示全部楼层
玩了,我是不是中招了

C:\Users\Administrator>certutil -hashfile D:\lnmp2.0.tar.gz MD5
MD5 的 D:\lnmp2.0.tar.gz 哈希:
6811dcbdb8b689f869c51f6cc9a34247
CertUtil: -hashfile 命令成功完成。
回复 支持 反对

举报

Fightlee
发表于 2023-9-20 18:37:47 | 显示全部楼层
loc也用的这个
不会

回复 支持 反对

举报

Troyesivan
发表于 2023-9-20 18:39:04 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

举报

why?
发表于 2023-9-20 18:45:58 | 显示全部楼层
lonefly 发表于 2023-9-20 18:37
玩了,我是不是中招了

C:%users\Administrator>certutil -hashfile D:\lnmp2.0.tar.gz MD5

哈希也不一样,没中。

我估计大概率是 某些 内网缓存 或者是 某些dns 挟持导致的,lnmp 包异常吧 ,
回复 支持 反对

举报

秋秋0827
发表于 2023-9-20 18:59:21 | 显示全部楼层
感觉前几年第三方下载的phpstudy投毒更厉害,涉及人群可能更广
回复 支持 反对

举报

hacn
发表于 2023-9-20 19:29:09 | 显示全部楼层
额 我装完就把安装包删掉了 不知道中没中
回复 支持 反对

举报

dole
发表于 2023-9-20 19:33:05 | 显示全部楼层
http
回复 支持 反对

举报

ccxiaoshi
 楼主| 发表于 2023-9-20 19:34:48 | 显示全部楼层
lonefly 发表于 2023-9-20 18:37
玩了,我是不是中招了

C:%users\Administrator>certutil -hashfile D:\lnmp2.0.tar.gz MD5

你的这个和官网的一样,但是我的是 1a02938df2e449a35caec4e10aa3ae7a
回复 支持 反对

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2025-9-28 14:57 , Processed in 0.087132 second(s), 11 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表