V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
vsean
V2EX  ›  分享发现

oneinstack 一键脚本被挂马,近期有使用该脚本的请注意!

  •  2
     
  •   vsean · 2023-05-01 17:26:18 +08:00 · 2806 次点击
    这是一个创建于 600 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://github.com/oneinstack/oneinstack/issues/487

    oneinstack 的一键安装脚本被发现有人挂马

    可能是最近几天的事情

    近期有使用过该脚本的请查看下面文件的第 137 行,是否有木马脚本

    /root/oneinstack/include/openssl.sh
    

    简单流程:

    • 执行 ./load linux@QWE

    • 程序会检查是否 RedHat ,目前只针对 RedHat 系列,debian/ubuntu 系列不执行后续

    • 下载 s.jpg 并释放到 /var/crond/ 目录,释放文件 cr.jpg 和 install 可执行

    • 执行 ./install 释放 cr.jpg 到 cr 目录,文件:ba 、cr 、snc 、libaudit.so.2 ,并注册服务

    • 后面就是日常操作,取得控制权,成为 rbq.

    9 条回复    2023-05-05 12:09:07 +08:00
    LLaMA
        1
    LLaMA  
       2023-05-01 17:36:20 +08:00
    大概率是镜像赞助商挂的,搞不好就是作者挂的,国产的开源项目光这两个月已经出过好几起事情了,例如前几天 trojan 还是什么协议的一键搭建脚本自动上传建好的节点密码给作者的事情还没过去多久
    vsean
        2
    vsean  
    OP
       2023-05-01 17:48:33 +08:00
    @benrezzagmehamed #1 作者自己的可能性很小,估计是分发的时候哪里出了问题
    LLaMA
        3
    LLaMA  
       2023-05-01 17:50:21 +08:00
    @benrezzagmehamed 一个多月前的事情 /t/928400
    lower
        4
    lower  
       2023-05-01 18:38:35 +08:00
    我靠,幸好我只熟悉 Ubuntu😂
    看来以后应用尽量搞虚拟化跑容器里面了……
    vsean
        5
    vsean  
    OP
       2023-05-01 19:25:37 +08:00
    @lower #4 这个挂马的人,有针对性的,用红帽的基本都是不差钱的企业
    Daeyn
        6
    Daeyn  
       2023-05-02 00:46:47 +08:00 via iPhone
    从不用一键脚本哈哈
    wzw
        7
    wzw  
       2023-05-02 14:26:22 +08:00
    @Daeyn 一键也有好处吧。要不然搭建 20 个 Wordpress ,怎么管理和环境。
    Daeyn
        8
    Daeyn  
       2023-05-02 16:24:58 +08:00 via iPhone
    @wzw 要么自己写要么 rsync
    dif
        9
    dif  
       2023-05-05 12:09:06 +08:00
    自己摘抄出来做成自己的就行。代码能挂马,那源码包之类的搞不好也能,官网好像也没提供 md5sum 。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2568 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 05:43 · PVG 13:43 · LAX 21:43 · JFK 00:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.