OpenNews: Взлом инфраструктуры Linux Mint привёл к распространению ISO-образов с бэкдором

21.02.2016 08:47 Взлом инфраструктуры Linux Mint привёл к распространению ISO-образов с бэкдором

Разработчики дистрибутива Linux Mint сообщили об инциденте, в результате которого злоумышленникам удалось подменить ссылки на установочные iso-образы, предлагаемые для загрузки с сайта проекта. Ссылки на iso-образы с редакцией Linux Mint 17.3 с рабочим столом Cinnamon были подменены на вариант с бэкдором. Остальные редакции и другие релизы Linux Mint не пострадали. В настоящее время разбирательство ещё не завершено, на время анализа последствий атаки сайт linuxmint.com временно отключен от сети.

Подмена была выполнена через взлом сайта проекта, на котором ссылки на официальный архив были подменены на сторонний сервер загрузки (5.104.175.212). Проблеме подвержены пользователи, 20 февраля загружавшие iso-образ Linux Mint 17.3 Cinnamon по ссылке с сайта проекта. По заявлению разработчиков Linux Mint проблеме не подвержены загрузки через Torrent, зеркала или официальный архив. Наличие бэкдора можно проверить оценив присутствие файла /var/lib/man.cy в файловой системе (используется троян Tsunami/Kaiten). Бэкдор осуществлял соединения с сайтом absentvodka.com, с которого принимались управляющие команды. Помимо основного назначения бэкдора tsunami - участия в ботнете, поддерживаются и такие функции как запуск произвольных обработчиков, которые могут применяться, например, для перехвата паролей.

Интересно, что после устранения первой атаки администраторы инфраструктуры Linux Mint оставили сайт в работе, после чего сразу последовал второй взлом, в результате которого ссылка была повторно подменена. Некоторые пользователи в комментариях отмечают расхождения контрольных сумм загруженных iso-файлов не только для Linux Mint 17.3 Cinnamon, но и для других редакций. Также существуют догадки, что причиной взлома стал движок форума Linux Mint, на котором использовалась уязвимая версия phpBB. Пока данная информация не подтверждена представителями Linux Mint.

Контрольные суммы (MD5) корректных iso-образов:

6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso

В случае установки поражённых бэкдором iso-образов рекомендуется отключить компьютер от сети, создать полную резервную копию всех персональных данных, переустановить систему и поменять пароли на всех сайтах, работа с которыми осуществлялась на проблемной системе.

Дополнение: Подтверждена утечка базы данных форума forums.linuxmint.com, всем пользователям рекомендовано срочно сменить используемые на форуме пароли и убедиться, что идентичные пароли не используются на других сайтах.

исправить +20 +/–

Лицензия: CC-BY

Тип: Проблемы безопасности

Ключевые слова: linux, mint

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение

Линейный вид | Ajax | Показать все | RSS

1.2, Аноним, 10:06, 21/02/2016 [ответить] [смотреть все] [к модератору]	+5 +/–
Водка Назовите с одного раза имя иностранца, который так сильно любит русские с... весь текст скрыт [показать]

2.3, анонимус_б6_4, 10:14, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+4 +/–
Барак Обама?

3.29, Аноним, 12:04, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Подсказываю: мир, базар.

4.40, Аноним, 13:07, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
А разве "mir" не означает "моё"?

5.49, Аноним, 13:53, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Скорее "мне". Мое будет скорее "mein".

4.54, Аноним, 15:00, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
Базар не русское слово.

5.69, Аниним, 19:35, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Да у нас половина слов не русских и что?

5.78, омномноимнимус, 22:08, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
ну да, а словосочетание "базарный день" я взял с потолка.

6.96, Яхз, 12:46, 22/02/2016 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
Из перс 1576 1575 1586 1575 1585 b 226 z 226 r 171 базар 187 ... весь текст скрыт [показать]

7.98, омномномномнимус, 16:16, 22/02/2016 [^] [ответить] [смотреть все] [к модератору]	–3 +/–
Я не утверждал, что слово по происхождению русское Оно заимствовано, но тем не ... весь текст скрыт [показать]

2.5, Аноним, 10:20, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+10 +/–
Не владеющие русским языком часто знают 2-5 русских слов. И водка как раз среди них

3.28, Аноним, 11:59, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Да, и еще "столица" и "советский медведь".

4.35, Аноным, 12:39, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+6 +/–
Увы, "пирожки" и "матрёшка".

5.43, Аноним, 13:22, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Самовар и бабушка еще.

6.50, A.Stahl, 13:56, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Спутник! Матрёшки, блин...

7.86, Аноним, 03:45, 22/02/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
а как же «на здоровие»?

6.51, Аноним, 13:58, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
Баляляйка же

7.56, Anonplus, 16:17, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+9 +/–
В последнее время наблюдаю ещё рост популярности слов CYKA BLYAT среди иностранцев.

8.70, Аниним, 19:36, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Это давно, около года ... весь текст скрыт [показать]

9.108, Аноним, 19:49, 24/02/2016 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
А "твой кролик написал" - известно уже лет 10.

8.71, Аниним, 19:38, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Во всем виноват CS GO ... весь текст скрыт [показать]

9.87, Аноним, 03:46, 22/02/2016 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
во всем виноваты поляки ... весь текст скрыт [показать]

10.109, Аноним, 19:50, 24/02/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Какие же это поляки Name Verdina Network Range 5 104 175 0 - 5 104 175 255 Own... весь текст скрыт [показать]

8.112, Аноним, 14:37, 25/02/2016 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
http www urbandictionary com define php term nahuy Просто убил пример диалога ... весь текст скрыт [показать]

4.104, Аноним, 10:14, 24/02/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
> Столиииица, водка, медведь наш советский!

2.9, Аноним, 10:23, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
К тому же это столько русское слово сколько название напитка.

3.88, Аноним, 03:47, 22/02/2016 [^] [ответить] [смотреть все] [к модератору]	–2 +/–
это именно, что русское слово, а жидкость сама ни разу не наша ... весь текст скрыт [показать]

4.105, Клыкастый, 13:43, 24/02/2016 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
в виде напитка с 40 градусами - именно наша.

2.7, Аноним, 10:22, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	–1 +/–
Ну если вы не можете отличить сайт от операционной системы, зачем вообще писать ... весь текст скрыт [показать] [показать ветку]

3.89, Аноним, 03:48, 22/02/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
время сейчас такое: пишут просто потому, что могут

2.8, Алексей, 10:22, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+3 +/–
Надёжность линуксов зависит от прямоты рук настраивающего и ПОДДЕРЖИВАЮЩЕГО.

2.23, Сергей, 11:45, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+2 +/–
John Pupkin

2.31, Michael Shigorin, 12:23, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	–2 +/–
Меня другое хоть в чём-то порадовало -- видимо, не перевелись ещё совсем уж в Бо... весь текст скрыт [показать] [показать ветку]

3.110, Аноним, 20:07, 24/02/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
У болгаров Olimex есть Хорошая фирма, дружественная к опенсорсу С их подачи Ki... весь текст скрыт [показать]

2.53, juvvidildo, 14:20, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+1 +/–
Это слово не русское, а польское

3.63, alex, 19:05, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
И русское тоже, было еще в старорусском Что, вода и производные теперь тоже п... весь текст скрыт [показать]

3.82, Ыр2.0, 23:19, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Наглое враньё, это поляки это слово адаптировало от нас, вместе с напитком в те... весь текст скрыт [показать]

4.90, Аноним, 03:49, 22/02/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
не брагу, а настойку на травах и вообще не факт, что хоть с каким-то спиртом ... весь текст скрыт [показать]

2.76, Капитан Очевидность, 20:45, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
По последней статистике потребления крепких алкогольных напитков в мире, водка ... весь текст скрыт [показать] [показать ветку]

1.6, Алексей, 10:21, 21/02/2016 [ответить] [смотреть все] [к модератору]	+3 +/–
А каким образом произошёл взлом? Где оказалось уязвимое место? Самое важное не написали, кстати.

2.11, Иван Демидов, 10:24, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	–7 +/–
небось сами туда бэкдор запихали, а когда их спалили, начали отмазываться типо э... весь текст скрыт [показать] [показать ветку]

3.14, Аноним, 10:29, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
глупо Очень сложно уследить за всеми уязвимостями в ПО Коммерческая организаци... весь текст скрыт [показать]

4.33, Алексей, 12:34, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
У минта неплохое финансирование, есть и статистика Так что нанять и работать по... весь текст скрыт [показать]

2.13, Аноним, 10:27, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+6 +/–
У них сайт на вордпрессе

3.19, ОнанВарвар, 11:11, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	–3 +/–
Недавно столкнулся с администрированием сайта на WP - это какой-то ужас по сравн... весь текст скрыт [показать]

4.36, slyakot, 12:39, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
В точности наоборот.

5.39, тоже Аноним, 12:59, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+3 +/–
Вы просто кота с разных сторон нюхаете Видимо, одному важнее минимум телодвиж... весь текст скрыт [показать]

6.75, Аниним, 20:26, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]

+2 +/–

> "Вы просто кота с разных сторон нюхаете".

Они его не нюхают, а лижут.

1.12, Аноним, 10:26, 21/02/2016 [ответить] [смотреть все] [к модератору]	–4 +/–
Просто нужно использовать дистрибутивы которые коммерческая организация выпускае... весь текст скрыт [показать]

2.18, Аноно, 10:59, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+4 +/–
Коммерческие это какие mint тоже частично коммерческая, они даже компы с предус... весь текст скрыт [показать] [показать ветку]

3.26, Аноним, 11:53, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	–5 +/–
Canonical например

4.32, Michael Shigorin, 12:25, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	–8 +/–
И в каком месте Марик зуб даёт, что не отдаст пользовательские данные на сторону... весь текст скрыт [показать]

5.45, ага, 13:37, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+8 +/–
А где гарантия , что сотрудники Альта не встраивают бэкдоры, не воруют пароли и не похищают детей?

6.52, тоже Аноним, 14:15, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+4 +/–
Лежит в папочке таких гарантий. Между листочками от M$ и ФСБ.

5.80, asavah, 23:16, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
В том же что и Мойша, что в альте нет троянов от ФСБ ... весь текст скрыт [показать]

6.91, Аноним, 03:59, 22/02/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
как показала практика вовремя скрытая уязвимость не считается бэкдором ... весь текст скрыт [показать]

2.22, Аннонним, 11:41, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+3 +/–
Ты запрещаешь использовать debian? Плохой ты человек.

3.27, Аноним, 11:56, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	–2 +/–
дебиан исключение И дебиан единственный такой дистрибутив И многим разработчик... весь текст скрыт [показать]

4.55, Аноним, 15:04, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Хватит кормить Дебиян! (с)

2.25, Аноним, 11:51, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+2 +/–
Не обязательно организация, но активную группу безопасности дистрибутив иметь до... весь текст скрыт [показать] [показать ветку]

1.15, ryanlol, 10:36, 21/02/2016 [ответить] [смотреть все] [к модератору]	+2 +/–
Я просто оставлю это здесь forums.linuxmint.com pwd /root/hacked_distros/mint/var/www/forums.linuxmint.com forums.linuxmint.com cat config.php <?php // phpBB 3.0.x auto-generated configuration file // Do not change anything in this file! $dbms = 'mysql'; $dbhost = 'localhost'; $dbport = ''; $dbname = 'lms14'; $dbuser = 'lms14'; $dbpasswd = 'upMint';

2.16, leap42, 10:48, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+2 +/–
божечки-кошечки

1.17, Аноним, 10:54, 21/02/2016 [ответить] [смотреть все] [к модератору]	+16 +/–
linuxmint-17.3-cinnamon-ZverDVD-Edition

2.46, commiethebeastie, 13:40, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	–4 +/–
Неа, zvervdv это ubuntu, а это by-Vasyan-666.

1.20, Кир, 11:14, 21/02/2016 [ответить] [смотреть все] [к модератору]	–3 +/–
Обратная сторона популярности..

2.24, Сергей, 11:46, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+8 +/–
Скорее, прямая сторона ламеризма.

2.37, soarin, 12:47, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	–2 +/–
Примеры подобного для apple, ms, canonical, red hat, debian можно ... весь текст скрыт [показать] [показать ветку]

3.57, Борз, 16:23, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
Для эппла пример - когда с icloud посливали фотки голожопых знаменитостей :)

3.59, Аноним, 16:44, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+3 +/–
Да пожалуйста Убунта https www helpnetsecurity com 2013 07 22 passwords-of-18... весь текст скрыт [показать]

4.60, soarin, 17:01, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	–2 +/–
Про одно помнил, но забыл ubuntuforums org формально как бэ не относится к дист... весь текст скрыт [показать]

5.61, Нимано, 17:25, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
http www engadget com 2012 02 12 microsoft-store-hacked-in-india-leaked-passwo... весь текст скрыт [показать]

6.65, Аноно, 19:18, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Android ещё забыли Тоже коммерческая компания И что Никто из производителей в... весь текст скрыт [показать]

6.68, soarin, 19:34, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Подойдёт - круто Ну а зловредные приложения - это всё же уровнем ниже, ибо не ... весь текст скрыт [показать]

1.21, Аноним, 11:26, 21/02/2016 [ответить] [смотреть все] [к модератору]	+/–
по фтп залили :D пароль из filezilla декриптовали вот и все :)

2.115, vanoc, 19:37, 26/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Декриптовали? В filezilla он открытым текстом хранится

1.30, OramahMaalhur, 12:22, 21/02/2016 [ответить] [смотреть все] [к модератору]	+/–
$ dig absentvodka.com ... ;; ANSWER SECTION: absentvodka.com. 60 IN A 127.0.0.1 Забавно.

2.74, админлоскалхоста, 20:02, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	–3 +/–
я бы удивился, если это была бы винда. ничего особенного.

1.34, Аноним, 12:38, 21/02/2016 [ответить] [смотреть все] [к модератору]	–5 +/–
торрентами распространять так и не научились

2.42, Аноним, 13:13, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]

+6 +/–

>торрентами распространять так и не научились

Новости дальше заголовка читать так и не научился.

>По заявлению разработчиков Linux Mint проблеме не подвержены загрузки через Torrent, зеркала или официальный архив.

1.38, Аноним, 12:54, 21/02/2016 [ответить] [смотреть все] [к модератору]	+3 +/–
Не понимаю людей, которые используют всякие левые сборки виндоус экс пи зверь эд... весь текст скрыт [показать]

2.41, виндотролль, 13:11, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	–2 +/–
Не понимаю людей, которые используют левые сборки зверьсд эдишн, типа зверьсд ул... весь текст скрыт [показать] [показать ветку]

3.48, commiethebeastie, 13:41, 21/02/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Так оно еще и обновляться не умеет И purge ppa там сломан ... весь текст скрыт [показать]

2.97, Анон369, 13:18, 22/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Не понимаю людей, которые пользуются словами, не зная их значения ... весь текст скрыт [показать] [показать ветку]

1.84, via, 23:34, 21/02/2016 [ответить] [смотреть все] [к модератору]	+/–
Популярность зашкаливает! зы. сам качаю обычно через торрент или с яндекса

2.85, Аноним, 01:09, 22/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	–4 +/–
С Яндекса? Лучше с narod.ru, что уж мелочиться.

3.92, Аноним, 04:05, 22/02/2016 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
камедиклаб, не иначе у Яндекса зеркалирование многих дистрибутивов идет... весь текст скрыт [показать]

4.99, Аноним, 22:39, 22/02/2016 [^] [ответить] [смотреть все] [к модератору]	+4 +/–
забей. тут половина про миррор ни черта не знает :)

5.102, Аноним, 14:15, 23/02/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
А вторая половина не знает вообще ни черта ... весь текст скрыт [показать]

1.100, ua9oas, 12:20, 23/02/2016 [ответить] [смотреть все] [к модератору]	–1 +/–
А сколько таких поддельных дистрибутивов было установлено И какой антивирус или... весь текст скрыт [показать]

1.103, Аноним, 22:26, 23/02/2016 [ответить] [смотреть все] [к модератору]	+/–
На других сайтах также написано, что контрольные суммы на официальном сайте тоже... весь текст скрыт [показать]

1.106, Ан v4, 14:29, 24/02/2016 [ответить] [смотреть все] [к модератору]	+/–
Блин, не программисты питоновские - а олухи. Коментов нет, скрипт не пригоден для использования. Хрен поймешь чего они там наворотили.

2.107, тщтфьу, 17:26, 24/02/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Блин, и этот вирус не работает. Да что же это такое???

1.113, Аноним, 21:14, 25/02/2016 [ответить] [смотреть все] [к модератору]	+/–
Их еще раньше взламали и грохнули сайт, оказалось что у них вообще нет бекапа са... весь текст скрыт [показать]

Добавить комментарий