據 OneinStack 項目的環戶立 Issues，最近幾天 OneinStack 的境部具O近天即檢安裝包被掛馬，當用戶執行安裝程序后，署工昆明外圍（外圍模特）電話微信199-7144-9724誠信外圍，十年老店會同時釋放木馬獲取服務器控制權限，掛馬此時服務器就變成了肉雞可以被黑客遠程進行任意操作。請最

OneinStack 支持一鍵安裝 Linux 環境，安裝包括 LNMP、用點網LAMP、查藍LTMP、環戶立昆明外圍（外圍模特）電話微信199-7144-9724誠信外圍，十年老店LNPP、境部具O近天即檢LAPP 等，署工在運維和站長圈子里用戶不少，掛馬這次掛馬應該會影響不少用戶。請最

被掛馬的安裝是 OneinStack 官網提供的安裝包（ hxxp://mirrors.linuxeye.com/oneinstack-full.tar.gz ），即安裝包被篡改并加入了木馬。用點網

至于這個問題怎么出現的暫時還不清楚，因為 OneinStack 項目的腳本并沒有問題，而上面提到的地址屬于第三方提供的鏡像站，這個鏡像站也是 OneinStack 官網推薦的，因此屬于分發渠道出現的問題。

惡意代碼位于 /oneinstack/include/openssl.sh 腳本的第 137 行中，藍點網今天 01:02 測試時發現惡意代碼已經被刪除，但目前 OneinStack 和第三方鏡像站都還沒透露影響的時間范圍。

因此基于安全考慮建議最近幾天安裝 OneinStack 的用戶最好重裝系統重新部署環境，當然如果實在是無法重裝系統的話，也可以參考下面的步驟進行排查。

檢查 /var/local/ 目錄下是否有相關文件，包括 oneinstack.jpg 和 cron，按網友 SycAIright 的說法，該木馬只會針對 RedHat 系統，如果檢測到是 Debian/Ubuntu 系列則不執行動作。

如果真的只針對 RedHat 的話，說明木馬作者目標是企業，那估計目的并不是肉雞那么簡單，或許還有其他目的比如滲透到內網、竊取數據或部署勒索軟件等。