Linux Mint-holdet viste i dag, at kompromitteret ISO-aftryk af Linux Mint har været distribueret fra den officielle hjemmeside på 20 februar 2016.
I henhold til blog-indlæg, indtrængen skete den 20 februar og blev opdaget kort efter og fast. Den officielle hjemmeside for projektet er nede i skrivende stund.
Dette betyder, at angriberne havde kun en begrænset tidsramme, hvor de var i stand til at distribuere den kompromitterede ISO image.
Angriberne formået at hacke hjemmesiden og manipuleres download links på det, at de pegede på en af deres servere, der tilbyder kompromitteret ISO-image af Linux Mint.
Opdatering: Nye oplysninger kom frem i lyset. Sitet er forum blev kompromitteret, og brugere opfordres til at ændre adgangskoder på alle steder, de har delt den med. Hertil kommer, at hackeren i stand til at ændre checksum på Linux Mint hjemmeside, så den hacket ISO-billeder ville kontrollere, når den er markeret.
Update 2: Linux Mint team har udgivet en opdatering til den Linux-distribution i dag, der introducerer en TSUNAMI opdagelse program, der tjekker for spor af bagdøren. Hvis der findes en infektion, holdet foreslår, at hente Mint igen fra det officielle websted for at installere den nye computer version på computeren.
Linux Mint hacket
Det opsøgende team har fundet ud af, at den kompromitterede version indeholder en bagdør, der opretter forbindelse til et website hostet i Bulgarien.
Kun downloads af Linux Mint 17.3 Kanel synes at have været påvirket af hack.
Det interessante her er, at torrent links, der ikke var påvirket, kun direkte links om Linux Mint hjemmeside.
Grunden er simpel; populære torrents er fordelt mellem flere såmaskiner og kammerater, og når de er i omløb, er det ikke muligt at manipulere data, siger erstatte det med en hacket billede.
Hvad kan du gøre
Hvis du har downloadet Linux Mint på 20 februar fra den officielle hjemmeside benytter direkte links, eller downloades Linux-distribution tidligere og ønsker at gøre sikker på, at det er ren, så har du følgende muligheder.
Hvis du har et ISO-image til rådighed, kan du tjekke sin underskrift at sørge for at den er gyldig. Hvis du kører Linux, skal du bruge kommandoen md5sum nameofiso.iso e..g md5sum linuxmint-17.3-cinnamon-64bit.iso.
Windows-brugere kan bruge et program som RekSFV eller Fil Verifikator for, at i stedet for.
Det ISO-billede, der er rent, hvis signaturen svarer en af dem, der er anført nedenfor.
6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso
Du ønsker måske at kontrollere trafikken på netværket, hvis du ikke har adgang til den ISO-image længere. Den kompromitterede version af Linux Mint 17.3 opretter forbindelse til absentvodka.com (dette kan ændre sig, så tjek for alle forbindelser, der ikke ser ud til højre).
Det er klart, hvis du har downloadet ISO-image, bare i går, du kan gå den sikre rute, og hent en legitim ISO-igen fra det officielle site (brug af torrents), og installere det.
På den måde sikrer, at systemet er rent og uden bagdør adgang.
Den officielle hjemmeside er ikke tilgængelige i skrivende stund. Linux Mint-holdet ser ud til at have taget det ned, for at undersøge hack og rydde op på stedet for at sikre, at andre områder ikke er blevet kompromitteret.
De to største torrent-filer, kan du være interesseret i er:
- Linux Mint 17.3 32-bit
- Linux Mint 17.3 64-bit