这是一个创建于 917 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://github.com/oneinstack/oneinstack/issues/487
oneinstack 的一键安装脚本被发现有人挂马
可能是最近几天的事情
近期有使用过该脚本的请查看下面文件的第 137 行,是否有木马脚本
/root/oneinstack/include/openssl.sh
简单流程:
-
执行 ./load linux@QWE
-
程序会检查是否 RedHat ,目前只针对 RedHat 系列,debian/ubuntu 系列不执行后续
-
下载 s.jpg 并释放到 /var/crond/ 目录,释放文件 cr.jpg 和 install 可执行
-
执行 ./install 释放 cr.jpg 到 cr 目录,文件:ba 、cr 、snc 、libaudit.so.2 ,并注册服务
-
后面就是日常操作,取得控制权,成为 rbq.
9 条回复 • 2023-05-05 12:09:07 +08:00
 |
1
LLaMA 2023-05-01 17:36:20 +08:00
大概率是镜像赞助商挂的,搞不好就是作者挂的,国产的开源项目光这两个月已经出过好几起事情了,例如前几天 trojan 还是什么协议的一键搭建脚本自动上传建好的节点密码给作者的事情还没过去多久
|
 |
2
iFrey OP PRO @benrezzagmehamed #1 作者自己的可能性很小,估计是分发的时候哪里出了问题
|
|
3
LLaMA 2023-05-01 17:50:21 +08:00
@benrezzagmehamed 一个多月前的事情 /t/928400
|
 |
4
lower 2023-05-01 18:38:35 +08:00
我靠,幸好我只熟悉 Ubuntu😂
看来以后应用尽量搞虚拟化跑容器里面了…… |
 |
6
Daeyn 2023-05-02 00:46:47 +08:00 via iPhone
从不用一键脚本哈哈
|
 |
9
dif 2023-05-05 12:09:06 +08:00
自己摘抄出来做成自己的就行。代码能挂马,那源码包之类的搞不好也能,官网好像也没提供 md5sum 。
|
Select Language