A execução yum install https://extras.getpagespeed.com/redhat/7/noarch/RPMS/getpagespeed-extras-release-7-1.el7.gps.noarch.rpm
cria, /etc/cron.d/sysstat2
mas o RPM rejeita o arquivo:
# rpm -ql getpagespeed-extras-release
/etc/pki/rpm-gpg/RPM-GPG-KEY-GETPAGESPEED
/etc/yum.repos.d/getpagespeed-extras.repo
# rpm -qf /etc/cron.d/sysstat2
file /etc/cron.d/sysstat2 is not owned by any package
Como o RPM criou o arquivo e como vejo o que mais ele fez?
https://extras.getpagespeed.com/redhat/7/noarch/RPMS/getpagespeed-extras-7-6.el7.gps.noarch.rpm
é o arquivo original, ele ainda tem uma data antiga no repositório egpgcheck=1
está definido nele.Respostas:
https://www.getpagespeed.com/SCM/release-post-install.php
contém:fonte
Você descobriu que os scripts do rpm executam um script da Internet e, atualmente, esse script é redirecionado para o que pode ser malware. Embora não esteja encontrando muita carga útil que faça alguma coisa.
O rpm não pode rastrear completamente o que aconteceu porque está executando um script arbitrário.
gpgcheck não irá ajudá-lo, tanto o
getpagespeed-extras-7-6.el7.gps.noarch.rpm
egetpagespeed-extras-release-7-1.el7.gps.noarch.rpm
é ligada parecem ter assinaturas válidas:Reclame com o proprietário do repo que o pacote executa código arbitrário da Internet. Se isso acontecer, a segurança da cadeia de suprimentos de software precisa melhorar.
Parece um pouco paranóico fazer a primeira instalação do software sem acesso à Internet ou inspecionar manualmente o script "pós-instalação". Mas, infelizmente, quase parece necessário se os pacotes fizerem truques mal recomendados como este.
fonte
Eu tenho 5 servidores CLoudLinux / cPanel que costumavam ter o Nginx através do Engintron, mas agora eles rodam o servidor da Web LiteSpeed. Acho que Engintron pode ter deixado os repositórios com páginas pagas para trás quando foi desinstalado. O cPanel executa uma verificação de atualização todas as noites e, por volta da meia-noite, todos os meus servidores me enviaram um relatório por e-mail:
Uma pesquisa pelo site de carga útil me levou aqui, onde vejo que no mesmo dia você teve o mesmo problema. Então, para adicionar minhas informações às suas. O mesmo
/etc/cron.d/sysstat2
arquivo existia em todos os meus servidores.Excluí o arquivo, removi os repositórios e usei o formulário de contato no GetPageSpeed para relatar o problema. O proprietário do repositório pode estar AWOL, pois havia um post no blog dizendo que ele estava encerrando o repositório devido a problemas de saúde. Portanto, talvez o invasor tenha aproveitado o fato de o repositório não estar recebendo atenção ou tenha encontrado uma porta aberta para explorar.
fonte
/etc/cron.d/sysstat2
. Ele fez isso.