信息來(lái)源:FreeBuf
你在2016年2月20日下載過(guò)Linux Mint嗎?你可能已經(jīng)感染了病毒……
Linux Mint是目前最暢銷、最流行的Linux發(fā)行版,如果你最近剛下載并安裝了該操作系統(tǒng),不幸的告訴你,你下載的可能是帶有惡意程序的ISO鏡像。
20日晚上,一些未知名的黑客或者組織入侵進(jìn)了Linux Mint網(wǎng)站,替換了網(wǎng)站中的下載鏈接,指向一個(gè)提供了Linux Mint 17.3 Cinnamon版本惡意ISO鏡像的服務(wù)器。
Linux Mint 負(fù)責(zé)人Clement Lefebvre評(píng)論到:
“黑客們制作了一個(gè)修改版的Linux Mint ISO,在上面植入了后門,然后設(shè)法入侵了我們網(wǎng)站,把下載鏈接指向了這個(gè)修改版。”
誰(shuí)會(huì)感染帶后門的Linux Mint呢?
Linux Mint團(tuán)隊(duì)目前發(fā)現(xiàn)只有一個(gè)版本會(huì)受影響,它就是Linux Mint 17.3 Cinnamon版本。
入侵事件發(fā)生在20日晚上,所以受影響的人群只限制在周六晚上下載Linux Mint 17.3 Cinnamon版本的用戶。如果你是在20日之前下載或者卸載了Linux Mint 17.3 Cinnamon版本,那你就不會(huì)受到影響。如果你下載的是其他版本的Linux Mint,即便通過(guò)Torrent或者HTTP鏈接包含了Mint 17.3 Cinnamon,那也不會(huì)受影響。
攻擊詳情
黑客通過(guò)團(tuán)隊(duì)的WordPress博客訪問了底層服務(wù)器,然后獲得了訪問數(shù)據(jù)的shell。調(diào)查小組的發(fā)現(xiàn),黑客操控了Linux Mint下載頁(yè)面,并將下載鏈接指向了一個(gè)惡意FTP(文件傳輸協(xié)議)服務(wù)器上,該服務(wù)器被發(fā)現(xiàn)位于保加利亞(IP: 5.104.175.212)。受影響的Linux ISO 安裝了完整的操作系統(tǒng)(含有網(wǎng)絡(luò)中繼聊天(IRC)后門Tsunami),所以黑客便可以通過(guò)IRC服務(wù)器訪問了系統(tǒng)。
注:Tsunami是非常著名的Linux ELF木馬,一個(gè)簡(jiǎn)單的IRC bot,用于發(fā)動(dòng)DDoS攻擊。
黑客vs Linux Mint系統(tǒng)管理員
Linux Mint團(tuán)隊(duì)迅速發(fā)現(xiàn)了這次黑客入侵,清除了網(wǎng)站上的惡意鏈接,隨之在Linux Mint博客上承認(rèn)了這次入侵事件。但是不久之后,這群黑客又再次入侵了它們的下載頁(yè)面。
事實(shí)上,Linux Mint沒有清除掉黑客所利用的入侵端口,所以后來(lái)Linux Mint團(tuán)隊(duì)選擇下線了整個(gè) linuxmint域名,以防止ISO鏡像進(jìn)一步的感染用戶。
“我們不清楚這次攻擊背后的目的是什么,如果攻擊者進(jìn)一步的攻擊我們,并且他們的目標(biāo)就是傷害我們,我們將會(huì)尋求法律和安全公司的幫助,找出背后的元兇?!?
黑客售賣Linux Mint網(wǎng)站數(shù)據(jù)
黑客在網(wǎng)上售賣Linux Mint數(shù)據(jù),全站數(shù)據(jù)僅售85美元。這些黑客們似乎是菜鳥,或者經(jīng)驗(yàn)不足的組織,有經(jīng)驗(yàn)的黑客一般不會(huì)選擇用IRC bot來(lái)攻擊最新的Linux發(fā)行版。而且從他們的入侵行為被發(fā)現(xiàn)之后又再次發(fā)動(dòng)攻擊來(lái)看,他們也應(yīng)該是經(jīng)驗(yàn)較少的黑客。
怎樣保護(hù)Linux設(shè)備安全?
ISO鏡像用戶可以先檢查簽名是否有效,對(duì)比設(shè)備的MD5簽名是否與官方版本一致。有效的簽名為:
6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso
如果已經(jīng)安裝了帶有后門的系統(tǒng),建議執(zhí)行以下步驟:
1.立即斷網(wǎng)
2.備份所有的數(shù)據(jù)
3.格式化或者重新安裝操作系統(tǒng)
4.更改敏感網(wǎng)站和郵箱的密碼
* 參考來(lái)源thehackernews,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf黑客與極客(FreeBuf.COM)