LNMP 一鍵安裝包 (由 Lnmp.org 提供) 日前被安全公司安恒信息發(fā)現(xiàn)供應(yīng)鏈投毒，知名裝包站長攻擊者通過某種方式入侵了 Lnmp.org 服務(wù)器，集境L鍵安檢查篡改了 LNMP 一鍵安裝包。成環(huán)珠海約炮（約上門服務(wù)）約炮vx《192-1819-1410》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)

LNMP 一鍵安裝包在站長圈子里還是被投有點(diǎn)名氣的，藍(lán)點(diǎn)網(wǎng)在 2015 年前后就一直使用 LNMP 一鍵安裝包，毒請點(diǎn)網(wǎng)后來換成了各個(gè)軟件獨(dú)立安裝。各位

Lnmp.org 提供 LNMP (即 Linux+Nginx+MySQL+PHP) 和 LNMPA (即 Linux+Nginx+MySQL+Apache+PHP)，立即因?yàn)榭梢砸绘I安裝諸多組件省下手動(dòng)下載安裝各個(gè)組件因此受到不少站長和開發(fā)者的服務(wù)歡迎。

不過這種一鍵安裝包始終存在風(fēng)險(xiǎn)，器藍(lán)現(xiàn)在風(fēng)險(xiǎn)也變成了現(xiàn)實(shí)，知名裝包站長珠海約炮（約上門服務(wù)）約炮vx《192-1819-1410》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)那就是集境L鍵安檢查服務(wù)器被入侵后投毒，以 LNMP 一鍵安裝包的成環(huán)體量，這次中毒的被投站長和開發(fā)者應(yīng)該不少。

安恒信息并未詳細(xì)說明此次供應(yīng)鏈攻擊的毒請點(diǎn)網(wǎng)細(xì)節(jié)，例如黑客如何入侵、各位何時(shí)入侵、感染系統(tǒng)后的目的等，只是建議用戶檢查自己的安裝程序排查是否安裝了帶毒版本。

目前 LNMP 一鍵安裝包的官網(wǎng)和論壇都沒有掛上安全提示，按理說安恒信息應(yīng)該已經(jīng)通知 LNMP 一鍵安裝包的開發(fā)者，因?yàn)樗{(lán)點(diǎn)網(wǎng)檢測 MD5 發(fā)現(xiàn)已經(jīng)變了，說明安裝包已經(jīng)修改。

至于這不掛上安全提示是什么原因暫時(shí)就不知道了。

官網(wǎng)的 lnmp2.0.tar.gz MD5 為 1a02938df2e449a35caec4e10aa3ae7a

安恒信息檢測的投毒版 MD5 為 40bdcf7fd65a035fe17ee860c3d2bd6e

目前官方的最新版 MD5 變成了 1a02938df2e449a35caec4e10aa3ae7a

攻擊者修改的文件為：lnmp2.0\include\init.sh 被植入惡意代碼、lnmp.sh 被植入惡意二進(jìn)制程序，執(zhí)行后會(huì)判斷系統(tǒng)是否為 RedHat 服務(wù)器，之后從 download.lnmp.life 域名下載并解壓惡意文件至 /var/local/cron，通過 crond 服務(wù)實(shí)現(xiàn)持久化。

排查方法：

檢查自己安裝 LNMP 一鍵安裝包時(shí)下載的文件 MD5 是否為安恒信息檢測的惡意包的 MD5；

檢查 /usr/sbin/crond 文件完整性，檢查 /usr/sbin/crond 文件近期是否被更改：

stat /usr/sbin/crond

rpm -Vf /usr/sbin/crond