Uruchamianie yum install https://extras.getpagespeed.com/redhat/7/noarch/RPMS/getpagespeed-extras-release-7-1.el7.gps.noarch.rpm
tworzy, /etc/cron.d/sysstat2
ale RPM wypiera plik:
# rpm -ql getpagespeed-extras-release
/etc/pki/rpm-gpg/RPM-GPG-KEY-GETPAGESPEED
/etc/yum.repos.d/getpagespeed-extras.repo
# rpm -qf /etc/cron.d/sysstat2
file /etc/cron.d/sysstat2 is not owned by any package
Jak RPM utworzyło plik i jak mogę zobaczyć, co jeszcze zrobił?
https://extras.getpagespeed.com/redhat/7/noarch/RPMS/getpagespeed-extras-7-6.el7.gps.noarch.rpm
jest oryginalnym plikiem, nadal ma starą datę w repozytorium igpgcheck=1
jest w nim ustawiony.Odpowiedzi:
https://www.getpagespeed.com/SCM/release-post-install.php
zawiera:źródło
Odkryłeś, że skrypty rpm uruchamiają skrypt z Internetu, a ten skrypt obecnie przekierowuje do potencjalnie złośliwego oprogramowania. Chociaż nie znajduję ładunków, które mogłyby coś zrobić.
rpm nie może całkowicie śledzić, co się stało, ponieważ uruchamia dowolny skrypt.
gpgcheck ci nie pomoże, zarówno link , jak
getpagespeed-extras-7-6.el7.gps.noarch.rpm
igetpagespeed-extras-release-7-1.el7.gps.noarch.rpm
link wydają się mieć prawidłowe podpisy:Skarż się właścicielowi repozytorium, że pakiet uruchamia dowolny kod z Internetu. Jeśli to konieczne, należy poprawić bezpieczeństwo łańcucha dostaw oprogramowania.
Trochę paranoikiem wydaje się wykonanie pierwszej instalacji oprogramowania bez dostępu do Internetu lub ręczne sprawdzenie skryptu „po instalacji”. Ale niestety prawie wydaje się konieczne, jeśli pakiety wykonują takie niewłaściwe sztuczki.
źródło
Mam 5 serwerów CLoudLinux / cPanel, na których kiedyś miałem na sobie Nginx za pośrednictwem Engintron, ale teraz zamiast tego działają na serwerze LiteSpeed. Myślę, że Engintron mógł pozostawić repozytorium stron za sobą, gdy został odinstalowany. cPanel przeprowadza sprawdzanie aktualizacji co noc, a około północy wszystkie moje serwery wysłały mi raport e-mail:
Wyszukiwanie strony z ładunkami doprowadziło mnie tutaj, gdzie widzę, że tego samego dnia miałeś ten sam problem. Więc dodaj moje informacje do swoich. Ten sam
/etc/cron.d/sysstat2
plik istniał na wszystkich moich serwerach.Usunąłem plik, usunąłem repozytorium i skorzystałem z formularza kontaktowego w GetPageSpeed, aby zgłosić problem. Właścicielem repozytorium może być AWOL, ponieważ na blogu był napisany, że wyłącza repozytorium z powodu problemów zdrowotnych. Może więc atakujący albo skorzystał z faktu, że repo nie przyciąga uwagi, albo znalazł otwarte drzwi do wykorzystania.
źródło
/etc/cron.d/sysstat2
. On to zrobił.