安全動態(tài)

Linux Mint網(wǎng)站被黑,下載鏈接指向帶有后門的ISO鏡像
來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2016-03-02    瀏覽次數(shù):
 

信息來源:FreeBuf 

1.jpg

你在2016年2月20日下載過Linux Mint嗎?你可能已經(jīng)感染了病毒……

Linux Mint是目前最暢銷、最流行的Linux發(fā)行版,如果你最近剛下載并安裝了該操作系統(tǒng),不幸的告訴你,你下載的可能是帶有惡意程序的ISO鏡像。

20日晚上,一些未知名的黑客或者組織入侵進了Linux Mint網(wǎng)站,替換了網(wǎng)站中的下載鏈接,指向一個提供了Linux Mint 17.3 Cinnamon版本惡意ISO鏡像的服務(wù)器。

Linux Mint 負責人Clement Lefebvre評論到:

“黑客們制作了一個修改版的Linux Mint ISO,在上面植入了后門,然后設(shè)法入侵了我們網(wǎng)站,把下載鏈接指向了這個修改版?!?

誰會感染帶后門的Linux Mint呢?

Linux Mint團隊目前發(fā)現(xiàn)只有一個版本會受影響,它就是Linux Mint 17.3 Cinnamon版本。

入侵事件發(fā)生在20日晚上,所以受影響的人群只限制在周六晚上下載Linux Mint 17.3 Cinnamon版本的用戶。如果你是在20日之前下載或者卸載了Linux Mint 17.3 Cinnamon版本,那你就不會受到影響。如果你下載的是其他版本的Linux Mint,即便通過Torrent或者HTTP鏈接包含了Mint 17.3 Cinnamon,那也不會受影響。

攻擊詳情

黑客通過團隊的WordPress博客訪問了底層服務(wù)器,然后獲得了訪問數(shù)據(jù)的shell。調(diào)查小組的發(fā)現(xiàn),黑客操控了Linux Mint下載頁面,并將下載鏈接指向了一個惡意FTP(文件傳輸協(xié)議)服務(wù)器上,該服務(wù)器被發(fā)現(xiàn)位于保加利亞(IP: 5.104.175.212)。受影響的Linux ISO 安裝了完整的操作系統(tǒng)(含有網(wǎng)絡(luò)中繼聊天(IRC)后門Tsunami),所以黑客便可以通過IRC服務(wù)器訪問了系統(tǒng)。

注:Tsunami是非常著名的Linux ELF木馬,一個簡單的IRC bot,用于發(fā)動DDoS攻擊。

黑客vs Linux Mint系統(tǒng)管理員

Linux Mint團隊迅速發(fā)現(xiàn)了這次黑客入侵,清除了網(wǎng)站上的惡意鏈接,隨之在Linux Mint博客上承認了這次入侵事件。但是不久之后,這群黑客又再次入侵了它們的下載頁面。

事實上,Linux Mint沒有清除掉黑客所利用的入侵端口,所以后來Linux Mint團隊選擇下線了整個 linuxmint域名,以防止ISO鏡像進一步的感染用戶。

“我們不清楚這次攻擊背后的目的是什么,如果攻擊者進一步的攻擊我們,并且他們的目標就是傷害我們,我們將會尋求法律和安全公司的幫助,找出背后的元兇?!?

黑客售賣Linux Mint網(wǎng)站數(shù)據(jù)

黑客在網(wǎng)上售賣Linux Mint數(shù)據(jù),全站數(shù)據(jù)僅售85美元。這些黑客們似乎是菜鳥,或者經(jīng)驗不足的組織,有經(jīng)驗的黑客一般不會選擇用IRC bot來攻擊最新的Linux發(fā)行版。而且從他們的入侵行為被發(fā)現(xiàn)之后又再次發(fā)動攻擊來看,他們也應(yīng)該是經(jīng)驗較少的黑客。

怎樣保護Linux設(shè)備安全?

ISO鏡像用戶可以先檢查簽名是否有效,對比設(shè)備的MD5簽名是否與官方版本一致。有效的簽名為:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso

e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso

30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso

3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso

df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso


如果已經(jīng)安裝了帶有后門的系統(tǒng),建議執(zhí)行以下步驟:

1.立即斷網(wǎng)

2.備份所有的數(shù)據(jù)

3.格式化或者重新安裝操作系統(tǒng)

4.更改敏感網(wǎng)站和郵箱的密碼

* 參考來源thehackernews,轉(zhuǎn)載請注明來自FreeBuf黑客與極客(FreeBuf.COM)

 
 

上一篇:網(wǎng)絡(luò)安全信息與動態(tài)周報-2016年第7期(點擊下載)

下一篇:關(guān)于GNU glibc getaddrinfo()堆棧緩沖區(qū)溢出漏洞的安全公告