0
oneinstack 一键脚本被挂马,近期有使用该脚本的请注意!
source link: https://www.v2ex.com/t/936739
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
https://github.com/oneinstack/oneinstack/issues/487
oneinstack 的一键安装脚本被发现有人挂马
可能是最近几天的事情
近期有使用过该脚本的请查看下面文件的第 137 行,是否有木马脚本
/root/oneinstack/include/openssl.sh
简单流程:
-
执行 ./load linux@QWE
-
程序会检查是否 RedHat ,目前只针对 RedHat 系列,debian/ubuntu 系列不执行后续
-
下载 s.jpg 并释放到 /var/crond/ 目录,释放文件 cr.jpg 和 install 可执行
-
执行 ./install 释放 cr.jpg 到 cr 目录,文件:ba 、cr 、snc 、libaudit.so.2 ,并注册服务
-
后面就是日常操作,取得控制权,成为 rbq.
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK