风险警示:关于LNMP一键安装包被投毒事件(附官方解决办法)
内容提要:近日,安恒信息CERT监测到军哥的LNMP一键安装包被植入恶意程序,目前官方网站暂无公告,作者已给出解决方案,详见本文末。
近日,安恒信息CERT监测到军哥的LNMP一键安装包被植入恶意程序,目前官方网站暂无公告,已得到LNMP作者军哥的证实,作者已给出解决方案,详见本文末。
安恒信息CERT监测发文称,在lnmp.org官方网站下载的安装包中被植入了恶意程序。至今,大部分威胁情报平台尚未标记相关的恶意IoC情报。建议近期在lnmp.org官网下载并部署LNMP的RedHat系统用户进行自查。
LNMP一键安装包是一个用Linux Shell编写的可以为CentOS/Debian/Ubuntu等或独立主机安装LNMP(Nginx/MySQL/PHP)、LNMPA(Nginx/MySQL/PHP/Apache)、LAMP(Apache/MySQL/PHP)生产环境的Shell程序。
事件分析
下载的安装程序与官网MD5值不一致
lnmp.org官网网站下载的安装程序(lnmp2.0.tar.gz,40bdcf7fd65a035fe17ee860c3d2bd6e)中,lnmp2.0\include\init.sh被攻击者植入恶意代码。
其中lnmp.sh是被植入的恶意二进制程序,执行后首先会判断系统是否为RedHat服务器,随后从download.lnmp.life下载并解压恶意文件至/var/local/cron,通过crond服务实现持久化。
通过crond进程建立DNS隧道通信。
通过crond进程建立DNS隧道通信
自查方法
1、检查下载安装程序文件的MD5值是否与官网一致
文件名:lnmp2.0.tar.gz
正常文件MD5:
1236630dcea1c5a617eb7a2ed6c457ed
被投毒文件MD5:
40bdcf7fd65a035fe17ee860c3d2bd6e
2、检查/usr/sbin/crond文件完整性,检查/usr/sbin/crond文件近期是否被更改:
stat /usr/sbin/crond rpm -Vf /usr/sbin/crond
通过rpm检查/usr/sbin/crond文件完整性
IoC
|
lnmp.site |
|
|
download.lnmp.life |
|
|
123.56.51.37 |
|
|
47.243.127.139 |
|
|
crond |
9cb3c03bbdb49f17e6a0913c7c6896b2 |
|
libad |
98d3136d5c60c33c1a829349e2040221 |
|
install |
c55a7752011a6c0ddc6eedb65e01af89 |
|
cr.jpg |
391547bd2be60733ff1136b277648ef4 |
|
s.jpg |
61ad56eec18a2997f526c19b4f93958c |
|
libseaudit.so.2.4.6 |
76f524d8a6900f4dd55c10ddaffea52d |
|
lnmp.sh |
d5f083ae4ff06376b7529a977fa77408 |
|
lnmp2.0.tar.gz |
40bdcf7fd65a035fe17ee860c3d2bd6e |
LNMP官方当前给出的解决方案
目前来说应该是只有40bdc开头的安装包210KB的是被投毒的,安装包196KB的应该是正常的,不太清楚具体怎么投毒的,网络上的原因比较大,下载服务器上文件的md5都是正确的。可以看一下安装包
include/init.sh查找一下没有没tools/lnmp.sh这一行,如果有的话,备份数据,然后重装系统。
