事件公告
近日,安恒信息CERT监测到一起LNMP遭受供应链投毒攻击事件。我们发现,在lnmp.org官方网站下载的安装包中被植入了恶意程序。至今,大部分威胁情报平台尚未标记相关的恶意IoC情报。建议近期在lnmp.org官网下载并部署LNMP的RedHat系统用户进行自查。
事件分析
LNMP一键安装包是一个用Linux Shell编写的可以为CentOS/Debian/Ubuntu等或独立主机安装LNMP(Nginx/MySQL/PHP)、LNMPA(Nginx/MySQL/PHP/Apache)、LAMP(Apache/MySQL/PHP)生产环境的Shell程序。
lnmp.org官网网站下载的安装程序(lnmp2.0.tar.gz,40bdcf7fd65a035fe17ee860c3d2bd6e)中,lnmp2.0\include\init.sh被攻击者植入恶意代码。
其中lnmp.sh是被植入的恶意二进制程序,执行后首先会判断系统是否为RedHat服务器,随后从download.lnmp.life下载并解压恶意文件至/var/local/cron,通过crond服务实现持久化。
通过crond进程建立DNS隧道通信。
自查方法
1、检查下载安装程序文件的MD5值是否与官网一致
文件名:lnmp2.0.tar.gz
正常文件MD5:
1236630dcea1c5a617eb7a2ed6c457ed
被投毒文件MD5:
40bdcf7fd65a035fe17ee860c3d2bd6e
2、检查/usr/sbin/crond文件完整性,检查/usr/sbin/crond文件近期是否被更改:
stat /usr/sbin/crond
rpm -Vf /usr/sbin/crond
玩了,我是不是中招了
C:\Users\Administrator>certutil -hashfile D:\lnmp2.0.tar.gz MD5
MD5 的 D:\lnmp2.0.tar.gz 哈希:
6811dcbdb8b689f869c51f6cc9a34247
CertUtil: -hashfile 命令成功完成。
loc也用的这个
不会
lnmp1.9躲过一劫
哈希也不一样,没中。
我估计大概率是 某些 内网缓存 或者是 某些dns 挟持导致的,lnmp 包异常吧 ,
刚检测了我的 安装包 MD5 跟官方和异常的都不一样
