V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
gaobh
V2EX  ›  信息安全

OneInStack 疑似供应链投毒 Nginx

  •  
  •   gaobh · 108 天前 · 4910 次点击
    这是一个创建于 108 天前的主题,其中的信息可能已经有所发展或是发生改变。
    该工具在安装过程中,从恶意的镜像节点下载了被恶意篡改的 nginx 源码包。之后 nginx 被编译安装和运行,导致服务器被植入后门。

    根据后门样本硬编码字符串特征,确认本次入侵攻击者使用的后门家族为 Noodle RAT 。根据趋势科技发布的安全报告,使用该恶意软件的攻击组织主要活动在亚太地区,以间谍活动或经济利益为目的开展入侵活动。
    报告: https://m.sohu.com/a/782760876_121304381/?pvid=000115_3w_a
    https://mp.weixin.qq.com/s/c5O6EtpWWj1N8whVdiek8Q
    30 条回复    2024-08-27 17:01:42 +08:00
    loveqianool
        1
    loveqianool  
       108 天前 via Android   ❤️ 4
    运维也使用一键脚本安装 Nginx 呀?
    hGaHLRyC
        2
    hGaHLRyC  
       107 天前   ❤️ 4
    OneInStack 供应链投毒好几次了吧?而且 OneInStack 和 lnmp 去年不是被收购了吗?供应链投毒去年就玩过一次了,OneInStack 的开发者好像还入职了那个收购的公司。收购的公司还有破解软件的下载网站业务,也是玩灰产的。
    totoro625
        3
    totoro625  
       107 天前
    感觉穿越了,依稀记得很早很早以前就投毒了
    0o0O0o0O0o
        4
    0o0O0o0O0o  
       107 天前 via iPhone
    看来会成为一年一顿的冷饭
    mingtdlb
        5
    mingtdlb  
       107 天前   ❤️ 1
    啊...这,多久之前的事了?现在比较少整 la/n/cmp 了吧,直接 docker compose 更方便。
    daimaosix
        6
    daimaosix  
       107 天前 via Android
    @loveqianool 那不然怎么安装 Nginx 呀
    huage
        7
    huage  
       107 天前
    我也不敢用了,为什么收购呢?肯定是商业利益,那既然是免费的话,只能搞灰产黑产了,安装一台多一台肉鸡。
    rulagiti
        8
    rulagiti  
       107 天前
    搞不懂那些用一键脚本编译 lnmp 的
    imlonghao
        9
    imlonghao  
       107 天前 via iPhone
    @daimaosix apt install nginx
    miyuki
        10
    miyuki  
       107 天前 via iPhone
    @daimaosix apt install nginx
    lucasj
        11
    lucasj  
       107 天前
    make install
    hGaHLRyC
        12
    hGaHLRyC  
       107 天前
    @daimaosix 系统自带的包管理啊
    sudo apt install nginx
    sudo systemctl start nginx
    sudo systemctl enable nginx
    我记得 OneInStack 和 lnmp 非离线的安装脚本有公共的软件镜像源不用,偏要用的他们自己的下载源。。尽量少用一键脚本,如果需要脚本自动化也尽量自己写。
    Dk2014
        13
    Dk2014  
       107 天前 via Android   ❤️ 1
    lnmp oneinstack 包括 51la 后面好像都是同一家黑产
    有兴趣可以去搜搜
    lisxour
        14
    lisxour  
       107 天前
    @rulagiti 不是人人都愿意去折腾编译的
    BG7ZAG
        15
    BG7ZAG  
       107 天前
    @lisxour 那就要宝塔,虽然不咋地,起码整个商业公司,不至于投毒
    lisxour
        16
    lisxour  
       107 天前
    @BG7ZAG 别宝塔,这玩意真恶心人,推荐 1panel
    BG7ZAG
        17
    BG7ZAG  
       107 天前
    @lisxour 1panel 也不错,就是得主要更新版本,不过还是直接 docker 方便,面板我只用它的计划任务和证书续期了~
    lisxour
        18
    lisxour  
       107 天前
    @BG7ZAG #17 1panel 就是全 docker 化的,这我还是比较喜欢的,不会把所有东西都装到服务器上乱拉屎
    RangerWolf
        19
    RangerWolf  
       107 天前
    @lisxour 可以详细说说么~ 我没有用过,不过到处都能听到宝塔的广告跟讨论
    pharsalia
        20
    pharsalia  
       107 天前
    看成 openstack ,吓我一跳
    nevergotit
        21
    nevergotit  
       107 天前
    docker 被封了,你们使用 1panel 能直接安装应用么?
    tyzrj766
        22
    tyzrj766  
       107 天前
    @nevergotit 1panel 有自己的官方反代网址,填一下就行了
    https://bbs.fit2cloud.com/t/topic/5886
    dzdh
        23
    dzdh  
       107 天前
    debian 系用 sury 的 nginx

    rhel 系 用 https://nginx.org/en/linux_packages.html

    非必要不编译。

    搞不懂那些编译的。
    nevergotit
        24
    nevergotit  
       107 天前
    @tyzrj766 谢谢,感恩😁
    9ki
        25
    9ki  
       107 天前
    历史是一个圆
    julyclyde
        26
    julyclyde  
       107 天前
    @lisxour 这事跟编译有啥关系?
    BadFox
        27
    BadFox  
       107 天前
    有种时光倒流的感觉。
    harryWebb
        28
    harryWebb  
       107 天前
    唉,5 年前用这个东西还是主力,没想到现在都搞投毒了。。
    虽然公司已经倒闭了
    NevadaLi
        29
    NevadaLi  
       107 天前
    @lisxour #14 直接 yum 或者 apt 装呗,干嘛编译
    xcsoft
        30
    xcsoft  
       107 天前
    @pharsalia 我也看成 openstack 了,笑死我了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2844 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 13:14 · PVG 21:14 · LAX 05:14 · JFK 08:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.