关于 LNMP 供应链投毒事件风险提示

事件公告

近日，安恒信息 CERT 监测到一起 LNMP 遭受供应链投毒攻击事件。我们发现，在 lnmp.org 官方网站下载的安装包中被植入了恶意程序。至今，大部分威胁情报平台尚未标记相关的恶意 IoC 情报。建议近期在 lnmp.org 官网下载并部署 LNMP 的 RedHat 系统用户进行自查。

事件分析

LNMP 一键安装包是一个用 Linux Shell 编写的可以为 CentOS/Debian/Ubuntu 等或独立主机安装 LNMP(Nginx/MySQL/PHP)、LNMPA(Nginx/MySQL/PHP/Apache)、LAMP(Apache/MySQL/PHP)生产环境的 Shell 程序。

lnmp.org 官网网站下载的安装程序(lnmp2.0.tar.gz ，40bdcf7fd65a035fe17ee860c3d2bd6e)中，lnmp2.0\include\init.sh 被攻击者植入恶意代码。

其中 lnmp.sh 是被植入的恶意二进制程序，执行后首先会判断系统是否为 RedHat 服务器，随后从 download.lnmp.life 下载并解压恶意文件至/var/local/cron ，通过 crond 服务实现持久化。

通过 crond 进程建立 DNS 隧道通信。

自查方法

1 、检查下载安装程序文件的 MD5 值是否与官网一致

文件名：lnmp2.0.tar.gz

正常文件 MD5：

1236630dcea1c5a617eb7a2ed6c457ed

被投毒文件 MD5：

40bdcf7fd65a035fe17ee860c3d2bd6e

2 、检查/usr/sbin/crond 文件完整性，检查/usr/sbin/crond 文件近期是否被更改：

stat /usr/sbin/crond

rpm -Vf /usr/sbin/crond

https://mp.weixin.qq.com/s/OT7C1l5rjBNCawFXRIUJOQ