首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
宝塔
V2EX  ›  程序员

要是 get.acme.sh 这种网站被入侵了,是不是很多服务器都会遭遇

  •  
  •   mytry · 178 天前 · 1966 次点击
    这是一个创建于 178 天前的主题,其中的信息可能已经有所发展或是发生改变。
    acme 官方的安装命令 curl https://get.acme.sh | sh,而且需要 root 权限。在想万一哪天这个站的内容被篡改了,感觉很多系统都会中毒
    14 回复  |  直到 2019-05-27 22:16:27 +08:00
        1
    mywaiting   178 天前   ♥ 1
    希望黑客可以良心地增加一个 rm -rf /
        2
    ThirdFlame   178 天前
    DOCKER 同理。

    curl -fsSL https://get.docker.com -o get-docker.sh
    sh get-docker.sh
        3
    boris1993   178 天前 via Android   ♥ 1
    所以可以的情况下,不要直接甩给 shell,下载下来先人肉看一眼
        5
    mytry   178 天前
    不过 acme.sh 也资瓷从 github 的链接安装,感觉会安全一些,除非 github 账号泄露了。
        6
    mytry   178 天前
    @hgc81538 供应链攻击最大的目标应该是 nodejs,网上一个 helloworld 都要装几百库,说不定其中一个就是有后门的。
        8
    feng1234   178 天前
    目前已经有很多供应链投毒的案例了,灰产安全意识是远远高于普通人的,所以我觉得完全有可能被投毒过
        9
    mytry   178 天前
    以前发布了假冒的 uglifyjs (中间没有 -)还有几十万安装量,没留个后门亏大了~ 🐶
        10
    boris1993   178 天前 via Android
    @mytry #6 去年 NodeJS 的那几个瓜是真的甜(逃
        11
    pmispig   178 天前
    最危险的是 node.js -> npm install
    所以我 npm install 都在 docker 里面执行的
        12
    chenoe   178 天前 via Android
    怎么不劫持 example.com
        13
    jinliming2   178 天前 via iPhone
    所以,不要图方便,什么一行代码完成安装,一个脚本搞定一切。
    除非你先把那一行代码做的所有动作全部搞明白,或是把脚本先下载下来一行一行审查过。
    楼上说的 docker 官方是有从源安装的方式的,检验 gpg key,几乎不可能被篡改,除非从一开始下载的 public key 就是篡改过的,或是遭到攻击的时候百度一下,告诉你关掉校验就能成功之类的鬼话……
        14
    neilp   175 天前
    有没有人推荐一个 github 的非授权代码变更通知, 或者类似的工具.
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4006 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 33ms · UTC 07:12 · PVG 15:12 · LAX 23:12 · JFK 02:12
    ♥ Do have faith in what you're doing.