基于, https://www.v2ex.com/t/936739, 请问下直接 git clone 项目下来,然后再项目里安装,“这情况”是否可以避免啊?其实,还没有搞明白什么情况? 求科普下,

2023-07-09 07:32:11 +08:00
 xiaoxiao168

同站搬运:

https://github.com/oneinstack/oneinstack/issues/487

oneinstack 的一键安装脚本被发现有人挂马

可能是最近几天的事情

近期有使用过该脚本的请查看下面文件的第 137 行,是否有木马脚本

/root/oneinstack/include/openssl.sh 简单流程:

执行 ./load linux@QWE

程序会检查是否 RedHat ,目前只针对 RedHat 系列,debian/ubuntu 系列不执行后续

下载 s.jpg 并释放到 /var/crond/ 目录,释放文件 cr.jpg 和 install 可执行

执行 ./install 释放 cr.jpg 到 cr 目录,文件:ba 、cr 、snc 、libaudit.so.2 ,并注册服务

后面就是日常操作,取得控制权,成为 rbq.”

假如我们使用 oneinstack 的方法是直接 clone 下来, 然后在项目里跑安装脚本, 这个问题是否就可以避免点啊? 还是我们需要把项目里的所以 http: 链接改为 https: (至少这样安全点, 同时下次有类似的情况发生, 也有更多的信息 做出回应?

2267 次点击
所在节点    信息安全
10 条回复
dode
2023-07-09 07:53:40 +08:00
这就就是第三方加速源被黑了,篡改里面的正常程序,文件可以计算 sha256 与官方发布的 sha256 检查是否一致
xiaoxiao168
2023-07-09 08:16:21 +08:00
@dode 老哥(不要口震啊,玩笑,请不不要介意)
嗯 sha256 对比的了,

同时想了解下, 直接从 gh 克隆下来, 然后先改为全部 https, 最后安装, 是否可以避免这些“第三方”不必要的麻烦呢? 谢谢
dode
2023-07-09 08:24:41 +08:00
第三方源服务器数据被篡改,HTTPS 资源一样可以被修改,甚至 HTTPS 证书都会泄露
xiaoxiao168
2023-07-09 08:36:44 +08:00
@dode gh 克隆项目下来安装, 还是需要经过第三方源?
也就是有人盯上了这个项目,知道它从那一个第三方源,然后从它的源头下毒?

感觉这个项目还是蛮方便的, 如果这样搞的话,有办法根治吗?需要自己找信的过的源?这一来, 安装脚本是否就废了啊?
dode
2023-07-09 08:39:58 +08:00
从 github 克隆,下载项目都没有问题的,安全性由作者自己控制
mohumohu
2023-07-09 08:42:03 +08:00
用 docker 就自带校验,隔离运行也更安全
xiaoxiao168
2023-07-09 08:49:05 +08:00
@mohumohu 好人做到底? 多说两句, 来个项目链接?
老哥桃花满天下
mohumohu
2023-07-09 09:15:03 +08:00
@xiaoxiao168 这个不需要具体的项目,你学习使用 docker-compose 就可以了。比如下面是一个简单的 lnmp 的 dockers-compose 配置:
```yaml
version: '3'
services:
nginx:
image: nginx:latest
ports:
- 80:80
volumes:
- ./nginx.conf:/etc/nginx/nginx.conf
- ./html:/var/www/html
depends_on:
- php
networks:
- lnmp-network

php:
image: php:latest
volumes:
- ./html:/var/www/html
networks:
- lnmp-network

mysql:
image: mysql:latest
ports:
- 3306:3306
environment:
- MYSQL_ROOT_PASSWORD=your_mysql_root_password
- MYSQL_DATABASE=your_mysql_database
- MYSQL_USER=your_mysql_user
- MYSQL_PASSWORD=your_mysql_user_password
volumes:
- ./mysql:/var/lib/mysql
networks:
- lnmp-network

networks:
lnmp-network:

```
xiaoxiao168
2023-07-09 09:19:48 +08:00
@mohumohu 给力, 可以也来个阿帕奇的吗? 感谢
mohumohu
2023-07-09 10:04:24 +08:00
@xiaoxiao168 配置照抄没有用的,你只需要理解 docker compose 的写法,然后选择合适你的 docker 镜像就可以了,apache 也有对应的 docker 镜像。你都用 oneinstack 这样的手动脚本了,使用 docker 镜像也是配置文件+数据。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/955212

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX