Автор Тема: Остерегайтесь взломанных ISO-образов  (Прочитано 1269 раз)

colonel

  • Старожил
  • ****
  • Сообщений: 496
  • Карма: +72/-8
  • Space Indian
    • Просмотр профиля
Разработчики дистрибутива Linux Mint сообщили об инциденте, в результате которого злоумышленникам удалось подменить ссылки на установочные iso-образы, предлагаемые для загрузки с сайта проекта. Ссылки на iso-образы с редакцией Linux Mint 17.3 с рабочим столом Cinnamon были подменены на вариант с бэкдором. Остальные редакции и другие релизы Linux Mint не пострадали. В настоящее время разбирательство ещё не завершено, на время анализа последствий атаки сайт linuxmint.com временно отключен от сети.

  Подмена была выполнена через взлом сайта проекта, на котором ссылки на официальный архив были подменены на сторонний сервер загрузки (5.104.175.212). Проблеме подвержены пользователи, 20 февраля загружавшие iso-образ Linux Mint 17.3 Cinnamon по ссылке с сайта проекта. По заявлению разработчиков Linux Mint проблеме не подвержены загрузки через Torrent, зеркала или официальный архив. Наличие бэкдора можно проверить оценив присутствие файла /var/lib/man.cy в файловой системе (используется троян tsunami). Бэкдор («чёрный ход») осуществлял соединения с сайтом absentvodka.com, с которого принимались управляющие команды. Помимо основного назначения бэкдора tsunami - участия в ботнете, поддерживаются и такие функции как запуск произвольных обработчиков, которые могут применяться, например, для перехвата паролей.

  Интересно, что после устранения первой атаки администраторы инфраструктуры Linux Mint оставили сайт в работе, после чего сразу последовал второй взлом, в результате которого ссылка была повторно подменена. Некоторые пользователи в комментариях отмечают расхождения контрольных сумм загруженных iso-файлов не только для Linux Mint 17.3 Cinnamon, но и для других редакций. Также существуют догадки, что причиной взлома стал движок форума Linux Mint, на котором использовалась уязвимая версия phpBB. Пока данная информация не подтверждена представителями Linux Mint.

  Контрольные суммы (MD5) корректных iso-образов:

    6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
    e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
    30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
    3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
    df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso

  В случае установки поражённых бэкдором iso-образов рекомендуется отключить компьютер от сети, создать полную резервную копию всех персональных данных, переустановить систему и поменять пароли на всех сайтах, работа с которыми осуществлялась на проблемной системе.

Источники: LinuxMint, Compizomznia
Where are the space Indians? (Silicon Dream)

Kamrad

  • Ветеран
  • *****
  • Сообщений: 599
  • Карма: +141/-11
  • Пингвиновод
    • Просмотр профиля
Re: Остерегайтесь взломанных ISO-образов
« Ответ #1 : 22 Февраль 2016, 07:11:30 »
Насколько я понял, речь идёт о компьюетрах пользователей, работающих под Вантузом?
Кто хочет на компьютере юзить, музить и вузить - пусть купит себе вульвузеллу!

"Linux используют ...э....энтузиасты, а нормальные люди работают на Windows! Вот представьте - приучили вы ребёнка работать с Linux, а придёт он в школу, где кругом Windows - и что он будет делать?!"

Brego

  • Ветеран
  • *****
  • Сообщений: 566
  • Карма: +93/-1
  • Перебьемся
    • Просмотр профиля
    • MintMem
Re: Остерегайтесь взломанных ISO-образов
« Ответ #2 : 22 Февраль 2016, 09:59:16 »
По данным Клема, поддельные ISO и сам троян "цунами" находятся на болгарском сервере, на минтовый сервер через второй бэкдор проник российский хакер (правда, как заметил Клем, это мог быть и VPN), причем этот последний активно ДДОСил личный Клемовский IP, затрудняя остановку сервера.
Мораль стара до банального: надо проверять контрольные суммы скачанных образов.
Гораздо важнее то, что базы http://forums.linuxmint.com/ скомпроментированы. Всем рекомендуется срочно поменять свои пароли на нем, как только он будет вновь поднят, -- в настоящий момент он лежит.
PS. Внимательно прочитал комменты на http://blog.linuxmint.com/ и, главное, ответы Клема. Должен сказать, что русскоязычная новость на Opennet мягко говоря, некачественная: нигде Клем не упоминал о phpBB, зато недвусмысленно указал на Wordpress, чья директория с темами давно уже стала рассадником всяких бяк. Кроме того, нигде нет конкретных указаний, что могли пострадать другие редакции Linux Mint.
Более точная информация (не считая, конечно, исходящей от самого Клема) на Softpedia.com 
« Последнее редактирование: 22 Февраль 2016, 12:45:16 от Brego »
"Следующая эпоха началась с сожжения всех хроник вместе с хронистами". С. Лем

хакер Шило

  • Старожил
  • ****
  • Сообщений: 308
  • Карма: +76/-20
  • Я скромен, потому что я гений. (Наум Каштаньер)
    • Просмотр профиля
Re: Остерегайтесь взломанных ISO-образов
« Ответ #3 : 23 Февраль 2016, 13:24:45 »
О как!...
А я как раз двадцатого скачивал образ системы, а вот проверить пока так и не удосужился - пошел смотреть.

P.S.
Не... Все нормально!
« Последнее редактирование: 23 Февраль 2016, 13:28:29 от хакер Шило »