LNMP一键安装包(Lnmp.org 军哥版)近日,被安恒信息CERT发现,在 lnmp.org
官方网站下载的安装包内被植入了恶意程序。恶意程序会针对在lnmp.org官网下载并部署LNMP的RedHat系统用户进行攻击。
随着事件逐步发酵,更多信息被发掘出来,很多网友疑似本次供应链投毒为新官方的自导自演?
疑点一:页脚突然出现的公司信息
根据[8月31日的archive快照]((https://www.tjsky.net/goto/?url=https://web.archive.org/web/20230831000931/https://lnmp.org/ “8月31日的archive快照”),网站页脚是这样的,这样的页脚状态持续了起码超过5年了。
但最近官网页脚突然出现了公司金华市矜贵网络科技有限公司的信息
疑点二:主站突然换了服务器
根据DNS历史信息查询,lnmp.org从2016年开始使用168.235.87.4这个IP的,但是在今年8月17号解析IP突然换成了47.254.56.155的阿里云
疑点三:根据ICP备案查询,备案主体同时运营着WDCP面板
9-13号网站域名被金华市矜贵网络科技有限公司备案,该备案主体同时也是另一个面板WDCP的备案主体,同时这个公司还备案了一个 MAC 破解软件网站。
疑点四:这么大的事情无任何通知
截至目前 LNMP 一键安装包的官网和论坛都没有挂上安全提示,但是下载文件 MD5 发现已经变了,说明安装包已经修改,但是无任何通知。
就很奇怪,8月份网站刚被卖给新公司,马上就出现供应链投毒的情况,给人感觉是新公司所作所为。
但即使被收购了,做这种低劣的手段可能性也不大吧,
因为投毒的动作并不是很隐秘。居然是直接另加了一个lnmp.sh文件,而且主页上的MD5也没改
要知道LNMP一直是每年六一更新,整个投毒操作过于明显,很快就会被发现。
如若转载,请注明出处:https://www.ozabc.com/it/536138.html