这是一个创建于 416 天前的主题,其中的信息可能已经有所发展或是发生改变。
事件公告
近日,安恒信息 CERT 监测到一起 LNMP 遭受供应链投毒攻击事件。我们发现,在 lnmp.org 官方网站下载的安装包中被植入了恶意程序。至今,大部分威胁情报平台尚未标记相关的恶意 IoC 情报。建议近期在 lnmp.org 官网下载并部署 LNMP 的 RedHat 系统用户进行自查。
事件分析
LNMP 一键安装包是一个用 Linux Shell 编写的可以为 CentOS/Debian/Ubuntu 等或独立主机安装 LNMP(Nginx/MySQL/PHP)、LNMPA(Nginx/MySQL/PHP/Apache)、LAMP(Apache/MySQL/PHP)生产环境的 Shell 程序。
lnmp.org 官网网站下载的安装程序(lnmp2.0.tar.gz ,40bdcf7fd65a035fe17ee860c3d2bd6e)中,lnmp2.0\include\init.sh 被攻击者植入恶意代码。
其中 lnmp.sh 是被植入的恶意二进制程序,执行后首先会判断系统是否为 RedHat 服务器,随后从 download.lnmp.life 下载并解压恶意文件至/var/local/cron ,通过 crond 服务实现持久化。
通过 crond 进程建立 DNS 隧道通信。
自查方法
1 、检查下载安装程序文件的 MD5 值是否与官网一致
文件名:lnmp2.0.tar.gz
正常文件 MD5:
1236630dcea1c5a617eb7a2ed6c457ed
被投毒文件 MD5:
40bdcf7fd65a035fe17ee860c3d2bd6e
2 、检查/usr/sbin/crond 文件完整性,检查/usr/sbin/crond 文件近期是否被更改:
stat /usr/sbin/crond
rpm -Vf /usr/sbin/crond
https://mp.weixin.qq.com/s/OT7C1l5rjBNCawFXRIUJOQ
近日,安恒信息 CERT 监测到一起 LNMP 遭受供应链投毒攻击事件。我们发现,在 lnmp.org 官方网站下载的安装包中被植入了恶意程序。至今,大部分威胁情报平台尚未标记相关的恶意 IoC 情报。建议近期在 lnmp.org 官网下载并部署 LNMP 的 RedHat 系统用户进行自查。
事件分析
LNMP 一键安装包是一个用 Linux Shell 编写的可以为 CentOS/Debian/Ubuntu 等或独立主机安装 LNMP(Nginx/MySQL/PHP)、LNMPA(Nginx/MySQL/PHP/Apache)、LAMP(Apache/MySQL/PHP)生产环境的 Shell 程序。
lnmp.org 官网网站下载的安装程序(lnmp2.0.tar.gz ,40bdcf7fd65a035fe17ee860c3d2bd6e)中,lnmp2.0\include\init.sh 被攻击者植入恶意代码。
其中 lnmp.sh 是被植入的恶意二进制程序,执行后首先会判断系统是否为 RedHat 服务器,随后从 download.lnmp.life 下载并解压恶意文件至/var/local/cron ,通过 crond 服务实现持久化。
通过 crond 进程建立 DNS 隧道通信。
自查方法
1 、检查下载安装程序文件的 MD5 值是否与官网一致
文件名:lnmp2.0.tar.gz
正常文件 MD5:
1236630dcea1c5a617eb7a2ed6c457ed
被投毒文件 MD5:
40bdcf7fd65a035fe17ee860c3d2bd6e
2 、检查/usr/sbin/crond 文件完整性,检查/usr/sbin/crond 文件近期是否被更改:
stat /usr/sbin/crond
rpm -Vf /usr/sbin/crond
https://mp.weixin.qq.com/s/OT7C1l5rjBNCawFXRIUJOQ
 |
1
ghol 2023-09-25 07:12:27 +08:00  1
https://lnmp.club/ 刚刚把之前下载的 1.9 和 2.0 早期没有感染的版本找到了,需要的自取。
https://lnmp.club/lnmp1.9-full.tar.gz https://lnmp.club/lnmp2.0-full.tar.gz |
 |
2
mengyaoren 2023-10-07 17:59:37 +08:00
。。。 刚发现
|
Select Language