关于 LNMP 供应链投毒事件风险提示

231 天前
 FirefoxChrome
事件公告

近日,安恒信息 CERT 监测到一起 LNMP 遭受供应链投毒攻击事件。我们发现,在 lnmp.org 官方网站下载的安装包中被植入了恶意程序。至今,大部分威胁情报平台尚未标记相关的恶意 IoC 情报。建议近期在 lnmp.org 官网下载并部署 LNMP 的 RedHat 系统用户进行自查。

事件分析

LNMP 一键安装包是一个用 Linux Shell 编写的可以为 CentOS/Debian/Ubuntu 等或独立主机安装 LNMP(Nginx/MySQL/PHP)、LNMPA(Nginx/MySQL/PHP/Apache)、LAMP(Apache/MySQL/PHP)生产环境的 Shell 程序。

lnmp.org 官网网站下载的安装程序(lnmp2.0.tar.gz ,40bdcf7fd65a035fe17ee860c3d2bd6e)中,lnmp2.0\include\init.sh 被攻击者植入恶意代码。

其中 lnmp.sh 是被植入的恶意二进制程序,执行后首先会判断系统是否为 RedHat 服务器,随后从 download.lnmp.life 下载并解压恶意文件至/var/local/cron ,通过 crond 服务实现持久化。

通过 crond 进程建立 DNS 隧道通信。

自查方法

1 、检查下载安装程序文件的 MD5 值是否与官网一致

文件名:lnmp2.0.tar.gz

正常文件 MD5:

1236630dcea1c5a617eb7a2ed6c457ed

被投毒文件 MD5:

40bdcf7fd65a035fe17ee860c3d2bd6e

2 、检查/usr/sbin/crond 文件完整性,检查/usr/sbin/crond 文件近期是否被更改:

stat /usr/sbin/crond

rpm -Vf /usr/sbin/crond

https://mp.weixin.qq.com/s/OT7C1l5rjBNCawFXRIUJOQ
1468 次点击
所在节点    信息安全
3 条回复
ghol
227 天前
https://lnmp.club/ 刚刚把之前下载的 1.9 和 2.0 早期没有感染的版本找到了,需要的自取。
https://lnmp.club/lnmp1.9-full.tar.gz
https://lnmp.club/lnmp2.0-full.tar.gz
mengyaoren
214 天前
。。。 刚发现
Gnepre
188 天前
@ghol 你这个 md5 也不对了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/975631

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX