信息來源:FreeBuf
你在2016年2月20日下載過Linux Mint嗎�����?你可能已經(jīng)感染了病毒……
Linux Mint是目前最暢銷�、最流行的Linux發(fā)行版����,如果你最近剛下載并安裝了該操作系統(tǒng)����,不幸的告訴你��,你下載的可能是帶有惡意程序的ISO鏡像���。
20日晚上,一些未知名的黑客或者組織入侵進(jìn)了Linux Mint網(wǎng)站���,替換了網(wǎng)站中的下載鏈接���,指向一個(gè)提供了Linux Mint 17.3 Cinnamon版本惡意ISO鏡像的服務(wù)器。
Linux Mint 負(fù)責(zé)人Clement Lefebvre評論到:
“黑客們制作了一個(gè)修改版的Linux Mint ISO���,在上面植入了后門�,然后設(shè)法入侵了我們網(wǎng)站����,把下載鏈接指向了這個(gè)修改版�����。”
誰會感染帶后門的Linux Mint呢����?
Linux Mint團(tuán)隊(duì)目前發(fā)現(xiàn)只有一個(gè)版本會受影響����,它就是Linux Mint 17.3 Cinnamon版本。
入侵事件發(fā)生在20日晚上�����,所以受影響的人群只限制在周六晚上下載Linux Mint 17.3 Cinnamon版本的用戶���。如果你是在20日之前下載或者卸載了Linux Mint 17.3 Cinnamon版本���,那你就不會受到影響���。如果你下載的是其他版本的Linux Mint,即便通過Torrent或者HTTP鏈接包含了Mint 17.3 Cinnamon����,那也不會受影響��。
攻擊詳情
黑客通過團(tuán)隊(duì)的WordPress博客訪問了底層服務(wù)器�����,然后獲得了訪問數(shù)據(jù)的shell。調(diào)查小組的發(fā)現(xiàn)���,黑客操控了Linux Mint下載頁面���,并將下載鏈接指向了一個(gè)惡意FTP(文件傳輸協(xié)議)服務(wù)器上,該服務(wù)器被發(fā)現(xiàn)位于保加利亞(IP: 5.104.175.212)���。受影響的Linux ISO 安裝了完整的操作系統(tǒng)(含有網(wǎng)絡(luò)中繼聊天(IRC)后門Tsunami)��,所以黑客便可以通過IRC服務(wù)器訪問了系統(tǒng)。
注:Tsunami是非常著名的Linux ELF木馬�����,一個(gè)簡單的IRC bot,用于發(fā)動DDoS攻擊����。
黑客vs Linux Mint系統(tǒng)管理員
Linux Mint團(tuán)隊(duì)迅速發(fā)現(xiàn)了這次黑客入侵,清除了網(wǎng)站上的惡意鏈接�����,隨之在Linux Mint博客上承認(rèn)了這次入侵事件���。但是不久之后,這群黑客又再次入侵了它們的下載頁面�����。
事實(shí)上����,Linux Mint沒有清除掉黑客所利用的入侵端口��,所以后來Linux Mint團(tuán)隊(duì)選擇下線了整個(gè) linuxmint域名���,以防止ISO鏡像進(jìn)一步的感染用戶����。
“我們不清楚這次攻擊背后的目的是什么�����,如果攻擊者進(jìn)一步的攻擊我們����,并且他們的目標(biāo)就是傷害我們�,我們將會尋求法律和安全公司的幫助,找出背后的元兇�。”
黑客售賣Linux Mint網(wǎng)站數(shù)據(jù)
黑客在網(wǎng)上售賣Linux Mint數(shù)據(jù)�,全站數(shù)據(jù)僅售85美元�����。這些黑客們似乎是菜鳥���,或者經(jīng)驗(yàn)不足的組織�,有經(jīng)驗(yàn)的黑客一般不會選擇用IRC bot來攻擊最新的Linux發(fā)行版�。而且從他們的入侵行為被發(fā)現(xiàn)之后又再次發(fā)動攻擊來看,他們也應(yīng)該是經(jīng)驗(yàn)較少的黑客����。
怎樣保護(hù)Linux設(shè)備安全?
ISO鏡像用戶可以先檢查簽名是否有效��,對比設(shè)備的MD5簽名是否與官方版本一致��。有效的簽名為:
6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso
如果已經(jīng)安裝了帶有后門的系統(tǒng),建議執(zhí)行以下步驟:
1.立即斷網(wǎng)
2.備份所有的數(shù)據(jù)
3.格式化或者重新安裝操作系統(tǒng)
4.更改敏感網(wǎng)站和郵箱的密碼
* 參考來源thehackernews���,轉(zhuǎn)載請注明來自FreeBuf黑客與極客(FreeBuf.COM)
