據(jù) OneinStack 項(xiàng)目的環(huán)戶立 Issues，最近幾天 OneinStack 的境部具O近天即檢安裝包被掛馬，當(dāng)用戶執(zhí)行安裝程序后，署工貴陽(yáng)外圍（貴陽(yáng)外圍女）外圍外圍上門外圍女（電話微信189-4469-7302）提供頂級(jí)外圍女上門，伴游，空姐，網(wǎng)紅，明星，車模等優(yōu)質(zhì)資源，可滿足你的一切要求會(huì)同時(shí)釋放木馬獲取服務(wù)器控制權(quán)限，掛馬此時(shí)服務(wù)器就變成了肉雞可以被黑客遠(yuǎn)程進(jìn)行任意操作。請(qǐng)最

OneinStack 支持一鍵安裝 Linux 環(huán)境，安裝包括 LNMP、用點(diǎn)網(wǎng)LAMP、查藍(lán)LTMP、環(huán)戶立貴陽(yáng)外圍（貴陽(yáng)外圍女）外圍外圍上門外圍女（電話微信189-4469-7302）提供頂級(jí)外圍女上門，伴游，空姐，網(wǎng)紅，明星，車模等優(yōu)質(zhì)資源，可滿足你的一切要求LNPP、境部具O近天即檢LAPP 等，署工在運(yùn)維和站長(zhǎng)圈子里用戶不少，掛馬這次掛馬應(yīng)該會(huì)影響不少用戶。請(qǐng)最

被掛馬的安裝是 OneinStack 官網(wǎng)提供的安裝包（ hxxp://mirrors.linuxeye.com/oneinstack-full.tar.gz ），即安裝包被篡改并加入了木馬。用點(diǎn)網(wǎng)

至于這個(gè)問(wèn)題怎么出現(xiàn)的暫時(shí)還不清楚，因?yàn)?OneinStack 項(xiàng)目的腳本并沒有問(wèn)題，而上面提到的地址屬于第三方提供的鏡像站，這個(gè)鏡像站也是 OneinStack 官網(wǎng)推薦的，因此屬于分發(fā)渠道出現(xiàn)的問(wèn)題。

惡意代碼位于 /oneinstack/include/openssl.sh 腳本的第 137 行中，藍(lán)點(diǎn)網(wǎng)今天 01:02 測(cè)試時(shí)發(fā)現(xiàn)惡意代碼已經(jīng)被刪除，但目前 OneinStack 和第三方鏡像站都還沒透露影響的時(shí)間范圍。

因此基于安全考慮建議最近幾天安裝 OneinStack 的用戶最好重裝系統(tǒng)重新部署環(huán)境，當(dāng)然如果實(shí)在是無(wú)法重裝系統(tǒng)的話，也可以參考下面的步驟進(jìn)行排查。

檢查 /var/local/ 目錄下是否有相關(guān)文件，包括 oneinstack.jpg 和 cron，按網(wǎng)友 SycAIright 的說(shuō)法，該木馬只會(huì)針對(duì) RedHat 系統(tǒng)，如果檢測(cè)到是 Debian/Ubuntu 系列則不執(zhí)行動(dòng)作。

如果真的只針對(duì) RedHat 的話，說(shuō)明木馬作者目標(biāo)是企業(yè)，那估計(jì)目的并不是肉雞那么簡(jiǎn)單，或許還有其他目的比如滲透到內(nèi)網(wǎng)、竊取數(shù)據(jù)或部署勒索軟件等。