安全動(dòng)態(tài)

Linux Mint網(wǎng)站被黑,下載鏈接指向帶有后門的ISO鏡像

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2016-03-02    瀏覽次數(shù):
 

信息來(lái)源:FreeBuf 

1.jpg

你在2016年2月20日下載過(guò)Linux Mint嗎?你可能已經(jīng)感染了病毒……

Linux Mint是目前最暢銷、最流行的Linux發(fā)行版,如果你最近剛下載并安裝了該操作系統(tǒng),不幸的告訴你,你下載的可能是帶有惡意程序的ISO鏡像。

20日晚上,一些未知名的黑客或者組織入侵進(jìn)了Linux Mint網(wǎng)站,替換了網(wǎng)站中的下載鏈接,指向一個(gè)提供了Linux Mint 17.3 Cinnamon版本惡意ISO鏡像的服務(wù)器。

Linux Mint 負(fù)責(zé)人Clement Lefebvre評(píng)論到:

“黑客們制作了一個(gè)修改版的Linux Mint ISO,在上面植入了后門,然后設(shè)法入侵了我們網(wǎng)站,把下載鏈接指向了這個(gè)修改版。”

誰(shuí)會(huì)感染帶后門的Linux Mint呢?

Linux Mint團(tuán)隊(duì)目前發(fā)現(xiàn)只有一個(gè)版本會(huì)受影響,它就是Linux Mint 17.3 Cinnamon版本。

入侵事件發(fā)生在20日晚上,所以受影響的人群只限制在周六晚上下載Linux Mint 17.3 Cinnamon版本的用戶。如果你是在20日之前下載或者卸載了Linux Mint 17.3 Cinnamon版本,那你就不會(huì)受到影響。如果你下載的是其他版本的Linux Mint,即便通過(guò)Torrent或者HTTP鏈接包含了Mint 17.3 Cinnamon,那也不會(huì)受影響。

攻擊詳情

黑客通過(guò)團(tuán)隊(duì)的WordPress博客訪問了底層服務(wù)器,然后獲得了訪問數(shù)據(jù)的shell。調(diào)查小組的發(fā)現(xiàn),黑客操控了Linux Mint下載頁(yè)面,并將下載鏈接指向了一個(gè)惡意FTP(文件傳輸協(xié)議)服務(wù)器上,該服務(wù)器被發(fā)現(xiàn)位于保加利亞(IP: 5.104.175.212)。受影響的Linux ISO 安裝了完整的操作系統(tǒng)(含有網(wǎng)絡(luò)中繼聊天(IRC)后門Tsunami),所以黑客便可以通過(guò)IRC服務(wù)器訪問了系統(tǒng)。

注:Tsunami是非常著名的Linux ELF木馬,一個(gè)簡(jiǎn)單的IRC bot,用于發(fā)動(dòng)DDoS攻擊。

黑客vs Linux Mint系統(tǒng)管理員

Linux Mint團(tuán)隊(duì)迅速發(fā)現(xiàn)了這次黑客入侵,清除了網(wǎng)站上的惡意鏈接,隨之在Linux Mint博客上承認(rèn)了這次入侵事件。但是不久之后,這群黑客又再次入侵了它們的下載頁(yè)面。

事實(shí)上,Linux Mint沒有清除掉黑客所利用的入侵端口,所以后來(lái)Linux Mint團(tuán)隊(duì)選擇下線了整個(gè) linuxmint域名,以防止ISO鏡像進(jìn)一步的感染用戶。

“我們不清楚這次攻擊背后的目的是什么,如果攻擊者進(jìn)一步的攻擊我們,并且他們的目標(biāo)就是傷害我們,我們將會(huì)尋求法律和安全公司的幫助,找出背后的元兇?!?

黑客售賣Linux Mint網(wǎng)站數(shù)據(jù)

黑客在網(wǎng)上售賣Linux Mint數(shù)據(jù),全站數(shù)據(jù)僅售85美元。這些黑客們似乎是菜鳥,或者經(jīng)驗(yàn)不足的組織,有經(jīng)驗(yàn)的黑客一般不會(huì)選擇用IRC bot來(lái)攻擊最新的Linux發(fā)行版。而且從他們的入侵行為被發(fā)現(xiàn)之后又再次發(fā)動(dòng)攻擊來(lái)看,他們也應(yīng)該是經(jīng)驗(yàn)較少的黑客。

怎樣保護(hù)Linux設(shè)備安全?

ISO鏡像用戶可以先檢查簽名是否有效,對(duì)比設(shè)備的MD5簽名是否與官方版本一致。有效的簽名為:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso

e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso

30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso

3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso

df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso


如果已經(jīng)安裝了帶有后門的系統(tǒng),建議執(zhí)行以下步驟:

1.立即斷網(wǎng)

2.備份所有的數(shù)據(jù)

3.格式化或者重新安裝操作系統(tǒng)

4.更改敏感網(wǎng)站和郵箱的密碼

* 參考來(lái)源thehackernews,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf黑客與極客(FreeBuf.COM)

 
 

上一篇:網(wǎng)絡(luò)安全信息與動(dòng)態(tài)周報(bào)-2016年第7期(點(diǎn)擊下載)

下一篇:關(guān)于GNU glibc getaddrinfo()堆棧緩沖區(qū)溢出漏洞的安全公告