Linux Mint nakažen malwarem

Zpravodajství Software Linux Mint nakažen malwarem

Zakladatel linuxové distribuce Mint Clem Lefebvre popsal, jak k infekci došlo. Hackeři upravili část PHP scriptu, který byl součástí oficiální Linux Mint webové stránky založené na Wordpressu. Uživatel, který si následně chtěl stáhnout iso soubor 64bitové nebo 32bitové distribuce linuxu, byl při navštívení této stránky přesměrován na stejně vypadající stránku hostující na bulharském serveru s IP 5.104.175.212.

A tam na něj čekala upravená verze Linux Mint, konkrétně Linux Mint 17.3 Cinnamon edition a podle všeho infikována byla jen 64bitová verze. Ta následně sbírala hesla uživatelů a to po celý víkend.

Tvůrci Mintu potvrdili na svém blogu, že byla ukradená databáze online fóra Linux Mintu. Především jména uživatelů a jejich hesla. Taktéž jejich osobní korespondence.

Tvůrci dále radí všem, aby si urychleně přeinstalovali Mint na nejnovější verzi a změnili svá hesla.

Doporučují také nahlédnout do složky /var/lib/man.cy, a pokud je složka prázdná, mělo by vše být v pořádku, avšak jsou-li tam nějaké soubory, je uživatel pravděpodobně infikován malwarem. Název malware je Linux/Tsunami-A, také známý jako Kaiten.

Linux Mint je momentálně nejpoužívanější distribuce spolu s Debianem a Ubuntu a tvůrci doufají, že tato záležitost nepoškodí jejich dobré jméno.

"Nechápeme, co bylo motivací těchto útočníků. Brzy kontaktujeme úřady a bezpečnostní firmy a najdeme si ty, co na útokem stojí," řekl Clem Lefebvre.

Zdroj: Arstechnica


 

  Aktivity (1)

Zprávu pro vás napsal Filip Matthias Lukl 23. února 19:22
Avatar
Autor momentálně pracuje jako překladatel v jedné malé velké společnosti. A také rád píše...

Miniatura
Všechny články v sekci
Zprávy ze světa softwaru

 

 

Komentáře
Zobrazit starší komentáře (19)

Avatar
David Čápka
Tým ITnetwork
Avatar
David Čápka:

Zprávy se různí, někde je napsané, že infikované ISO sbíralo hesla, někde že hesla vzali jen z fóra, oficiální prohlášení jsem nečetl. Že byl v tom infikovaném ISO keylogger mi přijde docela pravděpodobné, možná nikdo ani neví co to dělalo nebo to raději neoznámili. Je to docela průser, zajímalo by mě jak se tam dostali, to je wordpress tak děravý?

Odpovědět 24. února 19:44
Miluji svou práci a zdejší komunitu, baví mě se rozvíjet, děkuji každému členovi za to, že zde působí.
Avatar
David Čápka
Tým ITnetwork
Avatar
David Čápka:

BTW k tomu víkendu, cituji fórum:

February 21st, 2016 at 2:29 am
Heyo, it seems like the download pages still point to the hacked ISOs.
Honestly, the only reason why I noticed is because I was downloading the ISOs in bulk using wget, I saw a strange IP address and the fact that it was a PHP file.

Anyway, are the download pages going to be fixed anytime soon? I want to burn a CD for an old family friend… He got scammed by the “windows tech support” scammers and I want to show him the joys of Linux Mint!

Edit by Clem: Thanks for reporting this, this is a second attack so it means we’re still vulnerable. I’m shutting the server down right now.

Odpovědět  +1 24. února 19:49
Miluji svou práci a zdejší komunitu, baví mě se rozvíjet, děkuji každému členovi za to, že zde působí.
Avatar
David Novák
Tým ITnetwork
Avatar
David Novák:

Srsly..?

Sobota opravdu "víkend" nezahrnuje.. Víkend zahrnuje sobotu a neděli (sobota je prvek množiny víkend). Pokud se něco dělo v sobotu, pak se to dělo v sobotu a ne "o víkendu".. Není to slovíčkaření, ale základní logika a přesnost, kterou by redaktoři vždy měli mít.

Mě se nelíbí styl, jakým je to podané - nejsme Blesk, aby bylo třeba psát zprávy bulvárně a zveličovat závažnost události zatajením nebo vynecháním detailů.

Odpovědět  +5 24. února 19:50
Chyba je mezi klávesnicí a židlí.
Avatar
David Novák
Tým ITnetwork
Avatar
Odpovídá na David Čápka
David Novák:

Já vycházím z dvou oficiálních příspěvků na blogu Mintu :)

V infikovaném ISO byl Tsunami, což je DDoS trojan - napadené stanice lze použít k DDoS útokům.. Změna hesel se týká pouze uživatelů fóra.

A myslím, že každý složitější systém, WordPress nevyjímaje, je minimálně do jisté míry děravý.. Je ale také možné, že to měli špatně nastavené - WordPress jsem ale nikdy moc nepoužíval, takže nevím.

Odpovědět  +1 24. února 19:56
Chyba je mezi klávesnicí a židlí.
Avatar
David Novák
Tým ITnetwork
Avatar
Odpovídá na David Čápka
David Novák:

Tohle je asi někde pod tím prohlášením, že? Tak když to bylo i v neděli ve 3 ráno, tak teoreticky je to "přes víkend", no.. :D

Odpovědět 24. února 19:59
Chyba je mezi klávesnicí a židlí.
Avatar
David Čápka
Tým ITnetwork
Avatar
Odpovídá na David Novák
David Čápka:

Bohužel je hacknuli několikrát (o tom se nikde nepíše, protože to psali jen v té diskuzi), nejprve tam řeší že je to WP, pak jim hackli i čístý WP bez pluginů, zjistili že to bylo přes fórum (všimni si, že stále nejede - http://forums.linuxmint.com/), web měl nejnovější WP a už je spuštěný. V čem bylo fórum nevím, docela by mě to zajímalo.

EDIT: Fórum bylo PhpBB dle internetarchivu.

Editováno 24. února 20:05
Odpovědět 24. února 20:04
Miluji svou práci a zdejší komunitu, baví mě se rozvíjet, děkuji každému členovi za to, že zde působí.
Avatar
David Novák
Tým ITnetwork
Avatar
Odpovídá na David Čápka
David Novák:

Tak to asi byla zranitelnost tam no.. A je fakt, že jsem před nějakou dobou slyšel doporučení phpBB nepoužívat..

Odpovědět  +1 24. února 20:18
Chyba je mezi klávesnicí a židlí.
Avatar
Odpovídá na David Novák
Michal Žůrek (misaz):

by si člověk řekl, jak je ten kód otevřený a kontroluje ho tolik lidí, ....

Odpovědět  +2 24. února 20:31
Nesnáším {}, proto se jim vyhýbám.
Avatar
Lako
Člen
Avatar
Odpovídá na Michal Žůrek (misaz)
Lako:

dobrý metavtip

Jinak to, že je děravé phpBB nebo čistý wordpress je asi ještě závažnější chyba.
Docela se mi líbí pátrání místních "detektivů" - z takového pátraní by se měly dělat články a ne jenom z kousků informací s přidaným bulvaropisem, jak tvrdí David Novák.
IT web na takové halabala články tady na českém internetu už máme, chtělo by to spíš web s kvalitními it články...

 
Odpovědět  +6 25. února 11:18
Avatar
mkub
Redaktor
Avatar
Odpovídá na Lako
mkub:

nieco na styl root, alebo linuxexpres ;) suhlasim

 
Odpovědět 25. února 16:32
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 10 zpráv z 29. Zobrazit vše