要是 get.acme.sh 这种网站被入侵了，是不是很多服务器都会遭遇

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 2550 days ago, the information mentioned may be changed or developed.

acme 官方的安装命令 curl https://get.acme.sh | sh，而且需要 root 权限。在想万一哪天这个站的内容被篡改了，感觉很多系统都会中毒

Acme

curl

入侵

命令

14 replies • 2019-05-27 22:16:27 +08:00

mywaiting

May 24, 2019

希望黑客可以良心地增加一个 rm -rf /

ThirdFlame

May 24, 2019

DOCKER 同理。

curl -fsSL https://get.docker.com -o get-docker.sh
sh get-docker.sh

boris1993

May 24, 2019 via Android

所以可以的情况下，不要直接甩给 shell，下载下来先人肉看一眼

hgc81538

May 24, 2019

相信未來好大機會發生, 因為最近聽到不少 Supply chain attack.

e.g.
https://securelist.com/operation-shadowhammer-a-high-profile-supply-chain-attack/90380/

https://blog.trendmicro.com/trendlabs-security-intelligence/mirrorthief-group-uses-magecart-skimming-attack-to-hit-hundreds-of-campus-online-stores-in-us-and-canada/

mytry

May 24, 2019

不过 acme.sh 也资瓷从 github 的链接安装，感觉会安全一些，除非 github 账号泄露了。

mytry

May 24, 2019

@hgc81538 供应链攻击最大的目标应该是 nodejs，网上一个 helloworld 都要装几百库，说不定其中一个就是有后门的。

hgc81538

May 24, 2019

@mytry 對, https://blog.npmjs.org/post/180565383195/details-about-the-event-stream-incident

feng1234

May 24, 2019

目前已经有很多供应链投毒的案例了，灰产安全意识是远远高于普通人的，所以我觉得完全有可能被投毒过

mytry

May 24, 2019

以前发布了假冒的 uglifyjs （中间没有 -）还有几十万安装量，没留个后门亏大了~ 🐶

boris1993

May 24, 2019 via Android

@mytry #6 去年 NodeJS 的那几个瓜是真的甜（逃

pmispig

May 24, 2019

最危险的是 node.js -> npm install
所以我 npm install 都在 docker 里面执行的

chenoe

May 25, 2019 via Android

怎么不劫持 example.com

jinliming2

May 25, 2019 via iPhone

所以，不要图方便，什么一行代码完成安装，一个脚本搞定一切。
除非你先把那一行代码做的所有动作全部搞明白，或是把脚本先下载下来一行一行审查过。
楼上说的 docker 官方是有从源安装的方式的，检验 gpg key，几乎不可能被篡改，除非从一开始下载的 public key 就是篡改过的，或是遭到攻击的时候百度一下，告诉你关掉校验就能成功之类的鬼话……

neilp

May 27, 2019

有没有人推荐一个 github 的非授权代码变更通知, 或者类似的工具.