Фев 21, 2016 - 0 Comments - Интересно -

Взлом инфраструктуры Linux Mint привёл к распространению ISO-образов с бэкдором

21.02.2016 08:47 Взлом инфраструктуры Linux Mint привёл к распространению ISO-образов с бэкдором

Разработчики дистрибутива Linux Mint сообщили об инциденте, в результате которого злоумышленникам удалось подменить ссылки на установочные iso-образы, предлагаемые для загрузки с сайта проекта. Ссылки на iso-образы с редакцией Linux Mint 17.3 с рабочим столом Cinnamon были подменены на вариант с бэкдором. Остальные редакции и другие релизы Linux Mint не пострадали. В настоящее время разбирательство ещё не завершено, на время анализа последствий атаки сайт linuxmint.com временно отключен от сети.

Подмена была выполнена через взлом сайта проекта, на котором ссылки на официальный архив были подменены на сторонний сервер загрузки (5.104.175.212). Проблеме подвержены пользователи, 20 февраля загружавшие iso-образ Linux Mint 17.3 Cinnamon по ссылке с сайта проекта. По заявлению разработчиков Linux Mint проблеме не подвержены загрузки через Torrent, зеркала или официальный архив. Наличие бэкдора можно проверить оценив присутствие файла /var/lib/man.cy в файловой системе (используется троян tsunami). Бэкдор осуществлял соединения с сайтом absentvodka.com, с которого принимались управляющие команды. Помимо основного назначения бэкдора tsunami — участия в ботнете, поддерживаются и такие функции как запуск произвольных обработчиков, которые могут применяться, например, для перехвата паролей.

Интересно, что после устранения первой атаки администраторы инфраструктуры Linux Mint оставили сайт в работе, после чего сразу последовал второй взлом, в результате которого ссылка была повторно подменена. Некоторые пользователи в комментариях отмечают расхождения контрольных сумм загруженных iso-файлов не только для Linux Mint 17.3 Cinnamon, но и для других редакций. Также существуют догадки, что причиной взлома стал движок форума Linux Mint, на котором использовалась уязвимая версия phpBB. Пока данная информация не подтверждена представителями Linux Mint.

Контрольные суммы (MD5) корректных iso-образов:

  • 6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
  • e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
  • 30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
  • 3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
  • df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso

В случае установки поражённых бэкдором iso-образов рекомендуется отключить компьютер от сети, создать полную резервную копию всех персональных данных, переустановить систему и поменять пароли на всех сайтах, работа с которыми осуществлялась на проблемной системе.

  1. Главная ссылка к новости (http://blog.linuxmint.com/?p=2…)
  2. OpenNews: Релиз редакций дистрибутива Linux Mint 17.3 с десктоп-окружениями Xfce и KDE
  3. OpenNews: Выпуск дистрибутива Linux Mint 17.3
  4. OpenNews: Значительный рост популярности Linux Mint привёл к проблемам доступа к основному репозиторию
  5. OpenNews: В Linux Mint отмечены проблемы с распространением обновлений с устранением уязвимостей
Тип: Проблемы безопасности
Ключевые слова: linux, mint, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
 
+2 +/
Я просто оставлю это здесь

    forums.linuxmint.com pwd
  /root/hacked_distros/mint/var/www/forums.linuxmint.com
    forums.linuxmint.com cat config.php
  <?php
  // phpBB 3.0.x auto-generated configuration file
  // Do not change anything in this file!
  $dbms = ‘mysql’;
  $dbhost = ‘localhost’;
  $dbport = »;
  $dbname = ‘lms14’;
  $dbuser = ‘lms14’;
  $dbpasswd = ‘upMint’;

 
 
 
 
–1 +/
Про одно помнил, но забыл:
ubuntuforums.org формально как бэ не относится к дистрибутиву (хоть и создан canonical), но учитывая, что регистрация через ubuntu one, это было провалом. (а щас у меня вот банковская карта привязана к акаунту ubuntu one, в этом случае бы ещё смешнее было бы при взломе)

Debian тоже позорился. Было дело — не знал.
Ну а у apple и MS не канает такой пример — заражение несколько компьютеров неродивых служащих не высшего звена, которое ни к чему не привело.

 
 
 
+/
Android ещё забыли. Тоже коммерческая компания. И что? Никто из производителей версий не обновляет. Эксплоиты уже готовые есть для миллионов устройств — бери и ломай.
 
 
 
+/
> Не понимаю людей, которые используют левые сборки зверьсд эдишн, типа зверьсд ультмейт
> кэнди ремикс. Минт, сборка Убунты (суть — сборка Дебиана), как раз
> такой сборкой и является.

Так оно еще и обновляться не умеет. И purge ppa там сломан.

 

Ваш комментарий
 

This entry passed through the Full-Text RSS service — if this is your content and you’re reading it on someone else’s site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Человек ? *