V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
FirefoxChrome
V2EX  ›  信息安全

关于 LNMP 供应链投毒事件风险提示

  •  
  •   FirefoxChrome · 2023-09-20 18:42:52 +08:00 · 1840 次点击
    这是一个创建于 430 天前的主题,其中的信息可能已经有所发展或是发生改变。
    事件公告

    近日,安恒信息 CERT 监测到一起 LNMP 遭受供应链投毒攻击事件。我们发现,在 lnmp.org 官方网站下载的安装包中被植入了恶意程序。至今,大部分威胁情报平台尚未标记相关的恶意 IoC 情报。建议近期在 lnmp.org 官网下载并部署 LNMP 的 RedHat 系统用户进行自查。

    事件分析

    LNMP 一键安装包是一个用 Linux Shell 编写的可以为 CentOS/Debian/Ubuntu 等或独立主机安装 LNMP(Nginx/MySQL/PHP)、LNMPA(Nginx/MySQL/PHP/Apache)、LAMP(Apache/MySQL/PHP)生产环境的 Shell 程序。

    lnmp.org 官网网站下载的安装程序(lnmp2.0.tar.gz ,40bdcf7fd65a035fe17ee860c3d2bd6e)中,lnmp2.0\include\init.sh 被攻击者植入恶意代码。

    其中 lnmp.sh 是被植入的恶意二进制程序,执行后首先会判断系统是否为 RedHat 服务器,随后从 download.lnmp.life 下载并解压恶意文件至/var/local/cron ,通过 crond 服务实现持久化。

    通过 crond 进程建立 DNS 隧道通信。

    自查方法

    1 、检查下载安装程序文件的 MD5 值是否与官网一致

    文件名:lnmp2.0.tar.gz

    正常文件 MD5:

    1236630dcea1c5a617eb7a2ed6c457ed

    被投毒文件 MD5:

    40bdcf7fd65a035fe17ee860c3d2bd6e

    2 、检查/usr/sbin/crond 文件完整性,检查/usr/sbin/crond 文件近期是否被更改:

    stat /usr/sbin/crond

    rpm -Vf /usr/sbin/crond

    https://mp.weixin.qq.com/s/OT7C1l5rjBNCawFXRIUJOQ
    3 条回复    2023-11-03 00:58:03 +08:00
    ghol
        1
    ghol  
       2023-09-25 07:12:27 +08:00   ❤️ 1
    https://lnmp.club/ 刚刚把之前下载的 1.9 和 2.0 早期没有感染的版本找到了,需要的自取。
    https://lnmp.club/lnmp1.9-full.tar.gz
    https://lnmp.club/lnmp2.0-full.tar.gz
    mengyaoren
        2
    mengyaoren  
       2023-10-07 17:59:37 +08:00
    。。。 刚发现
    Gnepre
        3
    Gnepre  
       2023-11-03 00:58:03 +08:00
    @ghol 你这个 md5 也不对了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2564 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 10:45 · PVG 18:45 · LAX 02:45 · JFK 05:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.