知名Web集成环境Lnmp.org一键安装包被投毒 请各位站长立即检查服务器 – 蓝点网 | {$randkws}热点解读 篡改了 LNMP 一键部署包

LNMP 一键部署包 (由 Lnmp.org 提供) 此前被可靠企业安恒信息察觉供应链投毒，攻击者经由某种方式入侵了 Lnmp.org 办事器，篡改了 LNMP 一键部署包。

LNMP 一键部署包在站长圈子里还是解读电影资讯动态有点名气的，蓝点网在 2015 年前后就一直使用 LNMP 一键部署包，后来换成了各个使用独立部署。热门抢先体验排行

Lnmp.org 提供 LNMP (即 Linux+Nginx+MySQL+PHP) 和 LNMPA (即 Linux+Nginx+MySQL+Apache+PHP)，由于可以一键部署诸多组件省下手动获取部署各个组件所以受到不少站长和开发者的欢迎。

可是这种一键部署包始终存在隐患，如今隐患也变成了现实，那就是办事器被入侵后投毒，以 LNMP 一键部署包的体量，这次中毒的朋友圈久别重逢，登上热搜榜站长和开发者应该不少。

安恒信息并未详尽说明此次供应链攻击的详情，例如黑客如何入侵、何时入侵、汇率变化测评感染操控系统后的目的等，只是提议使用者检查自己的部署程序排查是否部署了带毒版次。

当下 LNMP 一键部署包的官网和论坛都没有挂上可靠提示，按理说安恒信息应该已然通知 LNMP 一键部署包的开发者，由于蓝点网测试 MD5 察觉已然变了，说明部署包已然更改。

至于这不挂上可靠提示是什么缘由暂时就不得知了。

官网的 lnmp2.0.tar.gz MD5 为 1a02938df2e449a35caec4e10aa3ae7a

安恒信息测试的投毒版 MD5 为 40bdcf7fd65a035fe17ee860c3d2bd6e

当下权威的新近版 MD5 变成了 1a02938df2e449a35caec4e10aa3ae7a

攻击者更改的文件为：lnmp2.0\include\init.sh 被植入恶意代码、lnmp.sh 被植入恶意二进制程序，执行后会判断操控系统是否为 RedHat 办事器，之后从 download.lnmp.life 域名获取并解压恶意文件至 /var/local/cron，经由 crond 办事做到持久化。

排查方法：

检查自己部署 LNMP 一键部署包时获取的文件 MD5 是否为安恒信息测试的恶意包的 MD5；

检查 /usr/sbin/crond 文件完整性，检查 /usr/sbin/crond 文件近期是否被更改：

stat /usr/sbin/crond

rpm -Vf /usr/sbin/crond