OpenNews: Взлом инфраструктуры Linux Mint привёл к распространению ISO-образов с бэкдором

21.02.2016 08:47 Взлом инфраструктуры Linux Mint привёл к распространению ISO-образов с бэкдором

Разработчики дистрибутива Linux Mint сообщили об инциденте, в результате которого злоумышленникам удалось подменить ссылки на установочные iso-образы, предлагаемые для загрузки с сайта проекта. Ссылки на iso-образы с редакцией Linux Mint 17.3 с рабочим столом Cinnamon были подменены на вариант с бэкдором. Остальные редакции и другие релизы Linux Mint не пострадали. В настоящее время разбирательство ещё не завершено, на время анализа последствий атаки сайт linuxmint.com временно отключен от сети.

Подмена была выполнена через взлом сайта проекта, на котором ссылки на официальный архив были подменены на сторонний сервер загрузки (5.104.175.212). Проблеме подвержены пользователи, 20 февраля загружавшие iso-образ Linux Mint 17.3 Cinnamon по ссылке с сайта проекта. По заявлению разработчиков Linux Mint проблеме не подвержены загрузки через Torrent, зеркала или официальный архив. Наличие бэкдора можно проверить оценив присутствие файла /var/lib/man.cy в файловой системе (используется троян Tsunami/Kaiten). Бэкдор осуществлял соединения с сайтом absentvodka.com, с которого принимались управляющие команды. Помимо основного назначения бэкдора tsunami - участия в ботнете, поддерживаются и такие функции как запуск произвольных обработчиков, которые могут применяться, например, для перехвата паролей.

Интересно, что после устранения первой атаки администраторы инфраструктуры Linux Mint оставили сайт в работе, после чего сразу последовал второй взлом, в результате которого ссылка была повторно подменена. Некоторые пользователи в комментариях отмечают расхождения контрольных сумм загруженных iso-файлов не только для Linux Mint 17.3 Cinnamon, но и для других редакций. Также существуют догадки, что причиной взлома стал движок форума Linux Mint, на котором использовалась уязвимая версия phpBB. Пока данная информация не подтверждена представителями Linux Mint.

Контрольные суммы (MD5) корректных iso-образов:

6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso

В случае установки поражённых бэкдором iso-образов рекомендуется отключить компьютер от сети, создать полную резервную копию всех персональных данных, переустановить систему и поменять пароли на всех сайтах, работа с которыми осуществлялась на проблемной системе.

Дополнение: Подтверждена утечка базы данных форума forums.linuxmint.com, всем пользователям рекомендовано срочно сменить используемые на форуме пароли и убедиться, что идентичные пароли не используются на других сайтах.

исправить +20 +/–

Лицензия: CC-BY

Тип: Проблемы безопасности

Ключевые слова: linux, mint

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение

Линейный вид | Ajax | Показать все | RSS

1.2, Аноним, 10:06, 21/02/2016 [ответить] [смотреть все]	+5 +/–
Водка Назовите с одного раза имя иностранца, который так сильно любит русские с... весь текст скрыт [показать]

2.3, анонимус_б6_4, 10:14, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	+4 +/–
Барак Обама?

3.29, Аноним, 12:04, 21/02/2016 [^] [ответить] [смотреть все]	+/–
Подсказываю: мир, базар.

4.40, Аноним, 13:07, 21/02/2016 [^] [ответить] [смотреть все]	+/–
А разве "mir" не означает "моё"?

5.49, Аноним, 13:53, 21/02/2016 [^] [ответить] [смотреть все]	+1 +/–
Скорее "мне". Мое будет скорее "mein".

4.54, Аноним, 15:00, 21/02/2016 [^] [ответить] [смотреть все]	+2 +/–
Базар не русское слово.

5.69, Аниним, 19:35, 21/02/2016 [^] [ответить] [смотреть все]	+1 +/–
Да у нас половина слов не русских и что?

5.78, омномноимнимус, 22:08, 21/02/2016 [^] [ответить] [смотреть все]	–1 +/–
ну да, а словосочетание "базарный день" я взял с потолка.

6.96, Яхз, 12:46, 22/02/2016 [^] [ответить] [смотреть все]	+2 +/–
Из перс 1576 1575 1586 1575 1585 b 226 z 226 r 171 базар 187 ... весь текст скрыт [показать]

7.98, омномномномнимус, 16:16, 22/02/2016 [^] [ответить] [смотреть все]	–3 +/–
Я не утверждал, что слово по происхождению русское Оно заимствовано, но тем не ... весь текст скрыт [показать]

2.5, Аноним, 10:20, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	+10 +/–
Не владеющие русским языком часто знают 2-5 русских слов. И водка как раз среди них

3.28, Аноним, 11:59, 21/02/2016 [^] [ответить] [смотреть все]	+/–
Да, и еще "столица" и "советский медведь".

4.35, Аноным, 12:39, 21/02/2016 [^] [ответить] [смотреть все]	+6 +/–
Увы, "пирожки" и "матрёшка".

5.43, Аноним, 13:22, 21/02/2016 [^] [ответить] [смотреть все]	+/–
Самовар и бабушка еще.

6.50, A.Stahl, 13:56, 21/02/2016 [^] [ответить] [смотреть все]	+1 +/–
Спутник! Матрёшки, блин...

7.86, Аноним, 03:45, 22/02/2016 [^] [ответить] [смотреть все]	+/–
а как же «на здоровие»?

6.51, Аноним, 13:58, 21/02/2016 [^] [ответить] [смотреть все]	+2 +/–
Баляляйка же

7.56, Anonplus, 16:17, 21/02/2016 [^] [ответить] [смотреть все]	+9 +/–
В последнее время наблюдаю ещё рост популярности слов CYKA BLYAT среди иностранцев.

8.70, Аниним, 19:36, 21/02/2016 [^] [ответить] [смотреть все]	+/–
Это давно, около года ... весь текст скрыт [показать]

9.108, Аноним, 19:49, 24/02/2016 [^] [ответить] [смотреть все]	–1 +/–
А "твой кролик написал" - известно уже лет 10.

8.71, Аниним, 19:38, 21/02/2016 [^] [ответить] [смотреть все]	+1 +/–
Во всем виноват CS GO ... весь текст скрыт [показать]

9.87, Аноним, 03:46, 22/02/2016 [^] [ответить] [смотреть все]	+2 +/–
во всем виноваты поляки ... весь текст скрыт [показать]

10.109, Аноним, 19:50, 24/02/2016 [^] [ответить] [смотреть все]	+/–
Какие же это поляки Name Verdina Network Range 5 104 175 0 - 5 104 175 255 Own... весь текст скрыт [показать]

8.112, Аноним, 14:37, 25/02/2016 [^] [ответить] [смотреть все]	–1 +/–
http www urbandictionary com define php term nahuy Просто убил пример диалога ... весь текст скрыт [показать]

4.104, Аноним, 10:14, 24/02/2016 [^] [ответить] [смотреть все]	+/–
> Столиииица, водка, медведь наш советский!

2.9, Аноним, 10:23, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
К тому же это столько русское слово сколько название напитка.

3.88, Аноним, 03:47, 22/02/2016 [^] [ответить] [смотреть все]	–2 +/–
это именно, что русское слово, а жидкость сама ни разу не наша ... весь текст скрыт [показать]

4.105, Клыкастый, 13:43, 24/02/2016 [^] [ответить] [смотреть все]	–1 +/–
в виде напитка с 40 градусами - именно наша.

2.7, Аноним, 10:22, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	–1 +/–
Ну если вы не можете отличить сайт от операционной системы, зачем вообще писать ... весь текст скрыт [показать] [показать ветку]

3.89, Аноним, 03:48, 22/02/2016 [^] [ответить] [смотреть все]	+1 +/–
время сейчас такое: пишут просто потому, что могут

2.8, Алексей, 10:22, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	+3 +/–
Надёжность линуксов зависит от прямоты рук настраивающего и ПОДДЕРЖИВАЮЩЕГО.

2.23, Сергей, 11:45, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	+2 +/–
John Pupkin

2.31, Michael Shigorin, 12:23, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	–2 +/–
Меня другое хоть в чём-то порадовало -- видимо, не перевелись ещё совсем уж в Бо... весь текст скрыт [показать] [показать ветку]

3.110, Аноним, 20:07, 24/02/2016 [^] [ответить] [смотреть все]	+/–
У болгаров Olimex есть Хорошая фирма, дружественная к опенсорсу С их подачи Ki... весь текст скрыт [показать]

2.53, juvvidildo, 14:20, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	+1 +/–
Это слово не русское, а польское

3.63, alex, 19:05, 21/02/2016 [^] [ответить] [смотреть все]	+1 +/–
И русское тоже, было еще в старорусском Что, вода и производные теперь тоже п... весь текст скрыт [показать]

3.82, Ыр2.0, 23:19, 21/02/2016 [^] [ответить] [смотреть все]	+/–
Наглое враньё, это поляки это слово адаптировало от нас, вместе с напитком в те... весь текст скрыт [показать]

4.90, Аноним, 03:49, 22/02/2016 [^] [ответить] [смотреть все]	+/–
не брагу, а настойку на травах и вообще не факт, что хоть с каким-то спиртом ... весь текст скрыт [показать]

2.76, Капитан Очевидность, 20:45, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
По последней статистике потребления крепких алкогольных напитков в мире, водка ... весь текст скрыт [показать] [показать ветку]

1.6, Алексей, 10:21, 21/02/2016 [ответить] [смотреть все]	+3 +/–
А каким образом произошёл взлом? Где оказалось уязвимое место? Самое важное не написали, кстати.

2.11, Иван Демидов, 10:24, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	–7 +/–
небось сами туда бэкдор запихали, а когда их спалили, начали отмазываться типо э... весь текст скрыт [показать] [показать ветку]

3.14, Аноним, 10:29, 21/02/2016 [^] [ответить] [смотреть все]	–1 +/–
глупо Очень сложно уследить за всеми уязвимостями в ПО Коммерческая организаци... весь текст скрыт [показать]

4.33, Алексей, 12:34, 21/02/2016 [^] [ответить] [смотреть все]	–1 +/–
У минта неплохое финансирование, есть и статистика Так что нанять и работать по... весь текст скрыт [показать]

2.13, Аноним, 10:27, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	+6 +/–
У них сайт на вордпрессе

3.19, ОнанВарвар, 11:11, 21/02/2016 [^] [ответить] [смотреть все]	–3 +/–
Недавно столкнулся с администрированием сайта на WP - это какой-то ужас по сравн... весь текст скрыт [показать]

4.36, slyakot, 12:39, 21/02/2016 [^] [ответить] [смотреть все]	+2 +/–
В точности наоборот.

5.39, тоже Аноним, 12:59, 21/02/2016 [^] [ответить] [смотреть все]	+3 +/–
Вы просто кота с разных сторон нюхаете Видимо, одному важнее минимум телодвиж... весь текст скрыт [показать]

6.75, Аниним, 20:26, 21/02/2016 [^] [ответить] [смотреть все]

+2 +/–

> "Вы просто кота с разных сторон нюхаете".

Они его не нюхают, а лижут.

1.12, Аноним, 10:26, 21/02/2016 [ответить] [смотреть все]	–4 +/–
Просто нужно использовать дистрибутивы которые коммерческая организация выпускае... весь текст скрыт [показать]

2.18, Аноно, 10:59, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	+4 +/–
Коммерческие это какие mint тоже частично коммерческая, они даже компы с предус... весь текст скрыт [показать] [показать ветку]

3.26, Аноним, 11:53, 21/02/2016 [^] [ответить] [смотреть все]	–5 +/–
Canonical например

4.32, Michael Shigorin, 12:25, 21/02/2016 [^] [ответить] [смотреть все]	–8 +/–
И в каком месте Марик зуб даёт, что не отдаст пользовательские данные на сторону... весь текст скрыт [показать]

5.45, ага, 13:37, 21/02/2016 [^] [ответить] [смотреть все]	+8 +/–
А где гарантия , что сотрудники Альта не встраивают бэкдоры, не воруют пароли и не похищают детей?

6.52, тоже Аноним, 14:15, 21/02/2016 [^] [ответить] [смотреть все]	+4 +/–
Лежит в папочке таких гарантий. Между листочками от M$ и ФСБ.

5.80, asavah, 23:16, 21/02/2016 [^] [ответить] [смотреть все]	–1 +/–
В том же что и Мойша, что в альте нет троянов от ФСБ ... весь текст скрыт [показать]

6.91, Аноним, 03:59, 22/02/2016 [^] [ответить] [смотреть все]	+/–
как показала практика вовремя скрытая уязвимость не считается бэкдором ... весь текст скрыт [показать]

2.22, Аннонним, 11:41, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	+3 +/–
Ты запрещаешь использовать debian? Плохой ты человек.

3.27, Аноним, 11:56, 21/02/2016 [^] [ответить] [смотреть все]	–2 +/–
дебиан исключение И дебиан единственный такой дистрибутив И многим разработчик... весь текст скрыт [показать]

4.55, Аноним, 15:04, 21/02/2016 [^] [ответить] [смотреть все]	+1 +/–
Хватит кормить Дебиян! (с)

2.25, Аноним, 11:51, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	+2 +/–
Не обязательно организация, но активную группу безопасности дистрибутив иметь до... весь текст скрыт [показать] [показать ветку]

1.15, ryanlol, 10:36, 21/02/2016 [ответить] [смотреть все]	+2 +/–
Я просто оставлю это здесь forums.linuxmint.com pwd /root/hacked_distros/mint/var/www/forums.linuxmint.com forums.linuxmint.com cat config.php <?php // phpBB 3.0.x auto-generated configuration file // Do not change anything in this file! $dbms = 'mysql'; $dbhost = 'localhost'; $dbport = ''; $dbname = 'lms14'; $dbuser = 'lms14'; $dbpasswd = 'upMint';

2.16, leap42, 10:48, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	+2 +/–
божечки-кошечки

1.17, Аноним, 10:54, 21/02/2016 [ответить] [смотреть все]	+16 +/–
linuxmint-17.3-cinnamon-ZverDVD-Edition

2.46, commiethebeastie, 13:40, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	–4 +/–
Неа, zvervdv это ubuntu, а это by-Vasyan-666.

1.20, Кир, 11:14, 21/02/2016 [ответить] [смотреть все]	–3 +/–
Обратная сторона популярности..

2.24, Сергей, 11:46, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	+8 +/–
Скорее, прямая сторона ламеризма.

2.37, soarin, 12:47, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	–2 +/–
Примеры подобного для apple, ms, canonical, red hat, debian можно ... весь текст скрыт [показать] [показать ветку]

3.57, Борз, 16:23, 21/02/2016 [^] [ответить] [смотреть все]	–1 +/–
Для эппла пример - когда с icloud посливали фотки голожопых знаменитостей :)

3.59, Аноним, 16:44, 21/02/2016 [^] [ответить] [смотреть все]	+3 +/–
Да пожалуйста Убунта https www helpnetsecurity com 2013 07 22 passwords-of-18... весь текст скрыт [показать]

4.60, soarin, 17:01, 21/02/2016 [^] [ответить] [смотреть все]	–2 +/–
Про одно помнил, но забыл ubuntuforums org формально как бэ не относится к дист... весь текст скрыт [показать]

5.61, Нимано, 17:25, 21/02/2016 [^] [ответить] [смотреть все]	+1 +/–
http www engadget com 2012 02 12 microsoft-store-hacked-in-india-leaked-passwo... весь текст скрыт [показать]

6.65, Аноно, 19:18, 21/02/2016 [^] [ответить] [смотреть все]	+/–
Android ещё забыли Тоже коммерческая компания И что Никто из производителей в... весь текст скрыт [показать]

6.68, soarin, 19:34, 21/02/2016 [^] [ответить] [смотреть все]	+/–
Подойдёт - круто Ну а зловредные приложения - это всё же уровнем ниже, ибо не ... весь текст скрыт [показать]

1.21, Аноним, 11:26, 21/02/2016 [ответить] [смотреть все]	+/–
по фтп залили :D пароль из filezilla декриптовали вот и все :)

2.115, vanoc, 19:37, 26/02/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
Декриптовали? В filezilla он открытым текстом хранится

1.30, OramahMaalhur, 12:22, 21/02/2016 [ответить] [смотреть все]	+/–
$ dig absentvodka.com ... ;; ANSWER SECTION: absentvodka.com. 60 IN A 127.0.0.1 Забавно.

2.74, админлоскалхоста, 20:02, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	–3 +/–
я бы удивился, если это была бы винда. ничего особенного.

1.34, Аноним, 12:38, 21/02/2016 [ответить] [смотреть все]	–5 +/–
торрентами распространять так и не научились

2.42, Аноним, 13:13, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]

+6 +/–

>торрентами распространять так и не научились

Новости дальше заголовка читать так и не научился.

>По заявлению разработчиков Linux Mint проблеме не подвержены загрузки через Torrent, зеркала или официальный архив.

1.38, Аноним, 12:54, 21/02/2016 [ответить] [смотреть все]	+3 +/–
Не понимаю людей, которые используют всякие левые сборки виндоус экс пи зверь эд... весь текст скрыт [показать]

2.41, виндотролль, 13:11, 21/02/2016 [^] [ответить] [смотреть все] [показать ветку]	–2 +/–
Не понимаю людей, которые используют левые сборки зверьсд эдишн, типа зверьсд ул... весь текст скрыт [показать] [показать ветку]

3.48, commiethebeastie, 13:41, 21/02/2016 [^] [ответить] [смотреть все]	+1 +/–
Так оно еще и обновляться не умеет И purge ppa там сломан ... весь текст скрыт [показать]

2.97, Анон369, 13:18, 22/02/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
Не понимаю людей, которые пользуются словами, не зная их значения ... весь текст скрыт [показать] [показать ветку]

1.84, via, 23:34, 21/02/2016 [ответить] [смотреть все]	+/–
Популярность зашкаливает! зы. сам качаю обычно через торрент или с яндекса

2.85, Аноним, 01:09, 22/02/2016 [^] [ответить] [смотреть все] [показать ветку]	–4 +/–
С Яндекса? Лучше с narod.ru, что уж мелочиться.

3.92, Аноним, 04:05, 22/02/2016 [^] [ответить] [смотреть все]	+2 +/–
камедиклаб, не иначе у Яндекса зеркалирование многих дистрибутивов идет... весь текст скрыт [показать]

4.99, Аноним, 22:39, 22/02/2016 [^] [ответить] [смотреть все]	+4 +/–
забей. тут половина про миррор ни черта не знает :)

5.102, Аноним, 14:15, 23/02/2016 [^] [ответить] [смотреть все]	+1 +/–
А вторая половина не знает вообще ни черта ... весь текст скрыт [показать]

1.100, ua9oas, 12:20, 23/02/2016 [ответить] [смотреть все]	–1 +/–
А сколько таких поддельных дистрибутивов было установлено И какой антивирус или... весь текст скрыт [показать]

1.103, Аноним, 22:26, 23/02/2016 [ответить] [смотреть все]	+/–
На других сайтах также написано, что контрольные суммы на официальном сайте тоже... весь текст скрыт [показать]

1.106, Ан v4, 14:29, 24/02/2016 [ответить] [смотреть все]	+/–
Блин, не программисты питоновские - а олухи. Коментов нет, скрипт не пригоден для использования. Хрен поймешь чего они там наворотили.

2.107, тщтфьу, 17:26, 24/02/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
Блин, и этот вирус не работает. Да что же это такое???

1.113, Аноним, 21:14, 25/02/2016 [ответить] [смотреть все]	+/–
Их еще раньше взламали и грохнули сайт, оказалось что у них вообще нет бекапа са... весь текст скрыт [показать]

Добавить комментарий