在Virmach从Colocrossing机房搬离两年后,Virmach再次迎来大变故,由于其上游DediPath倒闭Virmach不得不开始维护。...
2024-11-26 1
安恒信息:关于LNMP供应链投毒事件风险提示
云计算
2024年11月26日 14:06 1
admin
安恒信息:关于LNMP供应链投毒事件风险提示
2023-09-21 分类:商家资讯 阅读() 评论(0)PS:继OneinStaCK一键包被投毒事件后,LNMP.ORG军哥的一键包也被投毒,如有使用该程序的站长和企业请立即排查是否中招。
事件公告
近日,安恒信息CERT监测到一起LNMP遭受供应链投毒攻击事件。我们发现,在lnmp.org官方网站下载的安装包中被植入了恶意程序。至今,大部分威胁情报平台尚未标记相关的恶意IoC情报。建议近期在lnmp.org官网下载并部署LNMP的RedHat系统用户进行自查。
事件分析
LNMP一键安装包是一个用Linux Shell编写的可以为CentOS/Debian/Ubuntu等或独立主机安装LNMP(Nginx/MySQL/PHP)、LNMPA(Nginx/MySQL/PHP/Apache)、LAMP(Apache/MySQL/PHP)生产环境的Shell程序。
下载的安装程序与官网MD5值不一致
lnmp.org官网网站下载的安装程序(lnmp2.0.tar.gz,40bdcf7fd65a035fe17ee860C3d2bd6e)中,lnmp2.0\include\init.sh被攻击者植入恶意代码。
被投毒文件与正常安装文件对比
其中lnmp.sh是被植入的恶意二进制程序,执行后首先会判断系统是否为RedHat服务器,随后从download.lnmp.life下载并解压恶意文件至/var/locAl/cron,通过crond服务实现持久化。
lnmp.sh执行的恶意命令
通过crond进程建立DNS隧道通信。
通过crond进程建立DNS隧道通信
自查方法
1、检查下载安装程序文件的MD5值是否与官网一致
文件名:lnmp2.0.tar.gz
正常文件MD5:
1236630dcea1c5a617eb7a2ed6c457ed
被投毒文件MD5:
40bdcf7fd65a035fe17ee860c3d2bd6e
2、检查/usr/sbin/crond文件完整性,检查/usr/sbin/crond文件近期是否被更改:
stat /usr/sbin/crond
rpm -Vf /usr/sbin/crond
通过rpm检查/usr/sbin/crond文件完整性
IoC
恶意域名注册于2023-08-28 13:43:27,不排除官方安装包早在8月份就已遭投毒。
| lnmp.site | |
| download.lnmp.life | |
| 123.56.51.37 | |
| 47.243.127.139 | |
| crond | 9cb3c03bbdb49f17e6a0913c7c6896b2 |
| libad | 98d3136d5c60c33c1a829349e2040221 |
| install | c55a7752011a6c0ddc6eedb65e01af89 |
| cr.jpg | 3.1547bd2be60733FF1136b277648ef4 |
| s.jpg | 61ad56eec18a2997f526c19b4f93958c |
| libseaudit.so.2.4.6 | 76f524d8a6900f4dd55c10ddaffea52d |
| lnmp.sh | d5f083ae4ff06376b7529a977fa77408 |
| lnmp2.0.tar.gz | 40bdcf7fd65a035fe17ee860c3d2bd6e |
安恒信息CERT
2023年9月
本文转载至:https://mp.weixin.QQ.com/s/OT7C1l5rjBNCawFXRIUJOQ
AD: 【一个萌萌哒广告位】 FUNcdn真正亚洲优化CDN,电信CN2 / 联通CU / 移动CM A+级频宽高速接驳。 未经允许不得转载: 主机资讯-vps商家前沿资讯 » 安恒信息:关于LNMP供应链投毒事件风险提示 LNMP.ORG lnmp一键包 LNMP集成环境 军哥一键包 安恒信息主机资讯
主机资讯是一个致力于收集和发布免费VPS,免费域名,免费空间,免费虚拟主机,免费CDN,免费SSL,免费DNS,免费云主机,便宜VPS,特价VPS,美国免费空间,香港免费空间,香港空间,免费主机空间,免费网站空间,免费VPS推荐,免费空间推荐,便宜服务器,搬瓦工,VPS优惠等相关资源的聚合网站,是目前国内最好的了解前沿主机资讯的平台之一。 上一篇CloudCone:$19.38/年/1核/1G内存/30G SSD硬盘/1T流量/1Gbps端口/KVM/洛杉矶 下一篇
DogYun:70元/年/1核/1G内存/20G SSD硬盘/1T流量/500Mbps端口/香港
相关推荐
- AMH7更新版本来了
- OneinStack安装包再次被投毒
- LNMP.ORG和OneinStack集成环境同时被收购
- LNMP V2.0正式版,六一准时发布!
- OneinStack官网安装包被植入木马
- 小皮面板PHPstudy Linux版疑似存在RCE漏洞
- LNMP V1.8正式版,六一准时发布!
- 热网互联:官网全面升级,全场八折优惠
相关文章
- 详细阅读
-
Softbank软银线路故障最新进展详细阅读
Softbank到中国联通已经炸了有大半年了(最近电信也炸了),目前根据搬瓦工方面的消息,软银预计将在2024年2月完成修复。 Hello,...
2024-11-26 0
-
腾讯云:实例套餐调整,停售低价香港轻量应用服务器详细阅读
2023年3月29日起腾讯云将调整所有海外轻量应用服务器套餐配置和价格。 一、香港轻量应用服务器通用型实例将全面取消,低价香港轻量服务器将不复存...
2024-11-26 0
-
微林VX.LINK:春节活动预告,充值额外赠送20%详细阅读
微林是一个为开发者而生的小众云服务平台,成立于2014年,特色是提供 vxTrans 流量优化服务(L4)、Pivot 超导中枢服务(Link/Frp...
2024-11-26 2
-
安恒信息:关于LNMP供应链投毒事件风险提示详细阅读
PS:继OneinStack一键包被投毒事件后,LNMP.ORG军哥的一键包也被投毒,如有使用该程序的站长和企业请立即排查是否中招。 事件公告...
2024-11-26 1
-
Google 发布自己的内容分发网络 Media CDN详细阅读
在 2022 年 NAB 展会流媒体峰会上,Google 宣布 (https://cloud.google.com/blog/products/net...
2024-11-26 0
-
DMIT:计划脱离PVE架构或支持快照和备份功能详细阅读
根据主机资讯掌握的最新情报,DMIT 可能在下一代后台面板升级后提供VM快照和备份服务。 官方网站:www.dmit.io 由于PVE的设...
2024-11-26 0
-
AWS Lightsail 配置调整,CPU免费升级详细阅读
3.5、5、10 刀 免费升级为了2核CPU,并且CPU型号由Intel(R Xeon(R CPU E5-2676 v3 @ 2.40GHz 调整...
2024-11-26 1