据 OneinStack 项目的 Issues，最近几天 OneinStack 的安装包被挂马，当用户执行安装程序后，会同时释放木马获取服务器控制权限，此时服务器就变成了肉鸡可以被黑客远程进行任意操作。

OneinStack 支持一键安装 Linux 环境，包括 LNMP、LAMP、LTMP、LNPP、LAPP 等，在运维和站长圈子里用户不少，这次挂马应该会影响不少用户。

被挂马的是 OneinStack 官网提供的安装包（ hxxp://mirrors.linuxeye.com/oneinstack-full.tar.gz ），即安装包被篡改并加入了木马。

至于这个问题怎么出现的暂时还不清楚，因为 OneinStack 项目的脚本并没有问题，而上面提到的地址属于第三方提供的镜像站，这个镜像站也是 OneinStack 官网推荐的，因此属于分发渠道出现的问题。

恶意代码位于 /oneinstack/include/openssl.sh 脚本的第 137 行中，蓝点网今天 01:02 测试时发现恶意代码已经被删除，但目前 OneinStack 和第三方镜像站都还没透露影响的时间范围。

因此基于安全考虑建议最近几天安装 OneinStack 的用户最好重装系统重新部署环境，当然如果实在是无法重装系统的话，也可以参考下面的步骤进行排查。

检查 /var/local/ 目录下是否有相关文件，包括 oneinstack.jpg 和 cron，按网友 SycAIright 的说法，该木马只会针对 RedHat 系统，如果检测到是 Debian/Ubuntu 系列则不执行动作。

如果真的只针对 RedHat 的话，说明木马作者目标是企业，那估计目的并不是肉鸡那么简单，或许还有其他目的比如渗透到内网、窃取数据或部署勒索软件等。