全球主机交流论坛

标题: 关于LNMP供应链投毒事件风险提示 [打印本页]

作者: ccxiaoshi 时间: 2023-9-20 18:34
标题: 关于LNMP供应链投毒事件风险提示
本帖最后由 ccxiaoshi 于 2023-9-20 18:40 编辑

事件公告

近日，安恒信息CERT监测到一起LNMP遭受供应链投毒攻击事件。我们发现，在lnmp.org官方网站下载的安装包中被植入了恶意程序。至今，大部分威胁情报平台尚未标记相关的恶意IoC情报。建议近期在lnmp.org官网下载并部署LNMP的RedHat系统用户进行自查。

事件分析

LNMP一键安装包是一个用Linux Shell编写的可以为CentOS/Debian/Ubuntu等或独立主机安装LNMP(Nginx/MySQL/PHP)、LNMPA(Nginx/MySQL/PHP/Apache)、LAMP(Apache/MySQL/PHP)生产环境的Shell程序。

lnmp.org官网网站下载的安装程序(lnmp2.0.tar.gz，40bdcf7fd65a035fe17ee860c3d2bd6e)中，lnmp2.0\include\init.sh被攻击者植入恶意代码。

其中lnmp.sh是被植入的恶意二进制程序，执行后首先会判断系统是否为RedHat服务器，随后从download.lnmp.life下载并解压恶意文件至/var/local/cron，通过crond服务实现持久化。

通过crond进程建立DNS隧道通信。

自查方法

1、检查下载安装程序文件的MD5值是否与官网一致

文件名：lnmp2.0.tar.gz

正常文件MD5：

1236630dcea1c5a617eb7a2ed6c457ed

被投毒文件MD5：

40bdcf7fd65a035fe17ee860c3d2bd6e

2、检查/usr/sbin/crond文件完整性，检查/usr/sbin/crond文件近期是否被更改：

stat /usr/sbin/crond

rpm -Vf /usr/sbin/crond

https://mp.weixin.qq.com/s/OT7C1l5rjBNCawFXRIUJOQ

作者: lonefly 时间: 2023-9-20 18:37
玩了，我是不是中招了

C:\Users\Administrator>certutil -hashfile D:\lnmp2.0.tar.gz MD5
MD5 的 D:\lnmp2.0.tar.gz 哈希:
6811dcbdb8b689f869c51f6cc9a34247
CertUtil: -hashfile 命令成功完成。

作者: Fightlee 时间: 2023-9-20 18:37
loc也用的这个
不会

作者: Troyesivan 时间: 2023-9-20 18:39
提示: 作者被禁止或删除内容自动屏蔽

作者: why? 时间: 2023-9-20 18:45

lonefly 发表于 2023-9-20 18:37
玩了，我是不是中招了

C:%users\Administrator>certutil -hashfile D:\lnmp2.0.tar.gz MD5

哈希也不一样，没中。

我估计大概率是某些内网缓存或者是某些dns 挟持导致的，lnmp 包异常吧，

作者: beixiaoqian 时间: 2023-9-20 18:57
刚检测了我的安装包 MD5 跟官方和异常的都不一样

作者: 秋秋0827 时间: 2023-9-20 18:59
感觉前几年第三方下载的phpstudy投毒更厉害，涉及人群可能更广

作者: hacn 时间: 2023-9-20 19:29
额我装完就把安装包删掉了不知道中没中

作者: dole 时间: 2023-9-20 19:33
http

作者: ccxiaoshi 时间: 2023-9-20 19:34

lonefly 发表于 2023-9-20 18:37
玩了，我是不是中招了

C:%users\Administrator>certutil -hashfile D:\lnmp2.0.tar.gz MD5

你的这个和官网的一样，但是我的是 1a02938df2e449a35caec4e10aa3ae7a

作者: acm 时间: 2023-9-20 19:35
知道了，马上换宝塔

作者: 水牛 时间: 2023-9-20 19:35
推荐比LNMP更好用的oneinstack

https://oneinstack.com/install/

作者: daili.ws 时间: 2023-9-20 19:35
lnmp1.9-full.tar.gz
躲过一劫

作者: lonefly 时间: 2023-9-20 19:40

ccxiaoshi 发表于 2023-9-20 19:34
你的这个和官网的一样，但是我的是 1a02938df2e449a35caec4e10aa3ae7a

不一样噢，要不我咋会说中招了

最新稳定版本:

LNMP 2.0

下载版：(不含源码安装包文件，仅有安装脚本及配置文件)
http://soft.lnmp.com/lnmp/lnmp2.0.tar.gz
文件大小：196KB MD5：1a02938df2e449a35caec4e10aa3ae7a

##################################################

我的是

C:\Users\Administrator>certutil -hashfile D:\lnmp2.0.tar.gz MD5
MD5 的 D:\lnmp2.0.tar.gz 哈希:
6811dcbdb8b689f869c51f6cc9a34247
CertUtil: -hashfile 命令成功完成。

作者: ccxiaoshi 时间: 2023-9-20 19:54
本帖最后由 ccxiaoshi 于 2023-9-20 19:57 编辑

lonefly 发表于 2023-9-20 19:40
不一样噢，要不我咋会说中招了
最新稳定版本:

我发现了，我 FQ 用的是香港梯子，网页下面会显示金华市矜贵网络科技有限公司，下载地址是http://soft.lnmp.com/lnmp/lnmp2.0.tar.gz，这个是李鬼网站啊。不 FQ 下载地址是http://soft.vpser.net/lnmp/lnmp2.0.tar.gz 是正确的

作者: 花开花败 时间: 2023-9-20 20:20
真是防不胜防啊

作者: shangpan 时间: 2023-9-20 20:31
我也中招了，我国内的机器新装的。

作者: 花开花败 时间: 2023-9-20 20:41

lonefly 发表于 2023-9-20 19:40
不一样噢，要不我咋会说中招了
最新稳定版本:

这个哈希的包在 lnmp2.0\include\init.sh 里面没有找到文章里说的恶意代码，也没有lnmp.sh，不知道是安全的还是藏在别处了

作者: 花开花败 时间: 2023-9-20 20:46

水牛发表于 2023-9-20 19:35
推荐比LNMP更好用的oneinstack

https://oneinstack.com/install/

这个也是北岸过的网站，lnmp可以投毒这个也未必不可以投毒

作者: lonefly 时间: 2023-9-20 20:46

花开花败发表于 2023-9-20 20:41
这个哈希的包在 lnmp2.0\include\init.sh 里面没有找到文章里说的恶意代码，也没有lnmp.sh，不知道是安全 ...

我安装的时候都是修改了soft4.vpser.net国外地址的，这个地址没有CDN

作者: 鹏宇 时间: 2023-9-20 20:46

lonefly 发表于 2023-9-20 18:37
玩了，我是不是中招了

C:%users\Administrator>certutil -hashfile D:\lnmp2.0.tar.gz MD5

我的也是6811dcbdb8b689f869c51f6cc9a34247

作者: 花开花败 时间: 2023-9-20 21:08
这么大的事怎么都没什么人关注。。。

作者: 总是吵架的猪 时间: 2023-9-20 21:09
本帖最后由总是吵架的猪于 2023-9-20 21:10 编辑

ccxiaoshi 发表于 2023-9-20 19:54
我发现了，我 FQ 用的是香港梯子，网页下面会显示金华市矜贵网络科技有限公司，下载地址是http://soft.l ...

因vpser.net 域名被认证，如果出现国内访问解析到国外IP或者国外访问解析到国内IP的情况，就会出现"Read error (Connection reset by peer) in headers."错误或"读取文件头错误(链接超时)"之类的提示而无**常下载。

如果是下载LNMP安装包时报上述错误信息，按安装包下载链接里面的域名替换为本文下面给出的其他合适的域名；如果时LNMP安装过程中下载报错建议修改LNMP安装包目录下的 lnmp.conf 文件，修改 Download_Mirror='https://soft.lnmp.com' 行

LNMP一键安装包如何更换lnmp下载镜像(国内/国外)地址 - LNMP一键安装包
http://lnmp.com/faq/download-url.html

作者: 花落无声 时间: 2023-9-20 23:35
本帖最后由花落无声于 2023-9-20 23:43 编辑

水牛发表于 2023-9-20 19:35
推荐比LNMP更好用的oneinstack

https://oneinstack.com/install/

这个也被投毒过，https://m.freebuf.com/articles/web/366535.html

作者: louiejordan 时间: 2023-9-20 23:41
如果是Debian系统是不是就没事了

作者: akige 时间: 2023-9-21 00:02

作者: ningfeng.im 时间: 2023-9-21 00:07
这个事情最后怎么样了

作者: NRV 时间: 2023-9-21 00:30
前天一台小鸡刚用Debian装上，看起来中招了，不过貌似没被感染

作者: superEric 时间: 2023-9-21 01:22
检查程序：

代码开源： https://github.com/minroute/lnmp-checker

# 下载
wget -c https://github.com/minroute/lnmp-checker/releases/download/v1/lnmp_checker

# 给执行权限
chmod +x lnmp_checker

# 检测
./lnmp_checker

作者: Korosu 时间: 2023-9-21 01:45

lonefly 发表于 2023-9-20 19:40
不一样噢，要不我咋会说中招了
最新稳定版本:

LNMP 2.0

下载版：(不含源码安装包文件，仅有安装脚本及配置文件)
http://soft.vpser.net/lnmp/lnmp2.0.tar.gz
文件大小：196KB MD5：6811dcbdb8b689f869c51f6cc9a34247

和官网的一样，走梯子的话官网会显示另外一个

作者: haozi 时间: 2023-9-21 10:58
侧面说明了全站HTTPS的重要性

作者: 西门堵车 时间: 2023-9-21 11:07
还好我用apt

作者: 机长 时间: 2023-9-22 17:30
检测LNMP v2.0 被投毒检测

Step 1:检查操作系统
当前系统是CentOS

Step 2:检查定时任务
定时任务最后一次修改时间： 2016-03-31 23:09:48 +0800 CST
Step 3:检查安装包md5
正常文件MD5：（下载版）1236630dcea1c5a617eb7a2ed6c457ed （全量包,疑似）6811dcbdb8b689f869c51f6cc9a34247
文件的MD5值: 6811dcbdb8b689f869c51f6cc9a34247
安装包MD5与官方不一致！！！请结合定时任务情况做评估。
安装包应该是全下载版，理论安全。

Step 4:检查是否存在恶意文件lnmp.sh
是否全盘扫码恶意文件（耗时很久），如果是，输入数字1：1
您选中全盘扫描，请耐心等待！
没找到恶意程序lnmp.sh,安全
检查结束

欢迎光临全球主机交流论坛 (https://loc.010206.xyz/)