V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mytry
V2EX  ›  程序员

要是 get.acme.sh 这种网站被入侵了,是不是很多服务器都会遭遇

  •  
  •   mytry · 2019-05-24 16:55:33 +08:00 · 3479 次点击
    这是一个创建于 2017 天前的主题,其中的信息可能已经有所发展或是发生改变。
    acme 官方的安装命令 curl https://get.acme.sh | sh,而且需要 root 权限。在想万一哪天这个站的内容被篡改了,感觉很多系统都会中毒
    14 条回复    2019-05-27 22:16:27 +08:00
    mywaiting
        1
    mywaiting  
       2019-05-24 17:01:46 +08:00   ❤️ 1
    希望黑客可以良心地增加一个 rm -rf /
    ThirdFlame
        2
    ThirdFlame  
       2019-05-24 17:04:15 +08:00
    DOCKER 同理。

    curl -fsSL https://get.docker.com -o get-docker.sh
    sh get-docker.sh
    boris1993
        3
    boris1993  
       2019-05-24 17:12:16 +08:00 via Android   ❤️ 1
    所以可以的情况下,不要直接甩给 shell,下载下来先人肉看一眼
    mytry
        5
    mytry  
    OP
       2019-05-24 17:14:37 +08:00
    不过 acme.sh 也资瓷从 github 的链接安装,感觉会安全一些,除非 github 账号泄露了。
    mytry
        6
    mytry  
    OP
       2019-05-24 17:16:42 +08:00
    @hgc81538 供应链攻击最大的目标应该是 nodejs,网上一个 helloworld 都要装几百库,说不定其中一个就是有后门的。
    feng1234
        8
    feng1234  
       2019-05-24 17:24:45 +08:00
    目前已经有很多供应链投毒的案例了,灰产安全意识是远远高于普通人的,所以我觉得完全有可能被投毒过
    mytry
        9
    mytry  
    OP
       2019-05-24 17:40:17 +08:00
    以前发布了假冒的 uglifyjs (中间没有 -)还有几十万安装量,没留个后门亏大了~ 🐶
    boris1993
        10
    boris1993  
       2019-05-24 17:49:03 +08:00 via Android
    @mytry #6 去年 NodeJS 的那几个瓜是真的甜(逃
    pmispig
        11
    pmispig  
       2019-05-24 17:53:26 +08:00
    最危险的是 node.js -> npm install
    所以我 npm install 都在 docker 里面执行的
    chenoe
        12
    chenoe  
       2019-05-25 10:13:48 +08:00 via Android
    怎么不劫持 example.com
    jinliming2
        13
    jinliming2  
       2019-05-25 10:45:30 +08:00 via iPhone
    所以,不要图方便,什么一行代码完成安装,一个脚本搞定一切。
    除非你先把那一行代码做的所有动作全部搞明白,或是把脚本先下载下来一行一行审查过。
    楼上说的 docker 官方是有从源安装的方式的,检验 gpg key,几乎不可能被篡改,除非从一开始下载的 public key 就是篡改过的,或是遭到攻击的时候百度一下,告诉你关掉校验就能成功之类的鬼话……
    neilp
        14
    neilp  
       2019-05-27 22:16:27 +08:00
    有没有人推荐一个 github 的非授权代码变更通知, 或者类似的工具.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1686 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 16:45 · PVG 00:45 · LAX 08:45 · JFK 11:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.