Kirjoittaja Aihe: 20.2.2016 ladattu Linux Mint 17.3 Cinnamon on varustettu troijalaisella!!!  (Luettu 11176 kertaa)

spark

  • Käyttäjä
  • Viestejä: 1752
    • Profiili
Hakkerit onnistui murtautumaan Linux Mintin palvelimelle ja vaihtamaan latauslinkin haittaohjelmilla varustettuun imageen. Ongelma koskee tiettävästi ainoastaan Linux Mintin sivulta ladattua Cinnamon 17.3 versiota. Torrenttina ladatulla ei pitäisi olla ongelmia.

Lainaus
Beware of hacked ISOs if you downloaded Linux Mint on February 20th!

Written by Clem on Sunday, February 21st, 2016 @ 1:44 am   | Main Topics

I’m sorry I have to come with bad news.

We were exposed to an intrusion today. It was brief and it shouldn’t impact many people, but if it impacts you, it’s very important you read the information below.

What happened?

Hackers made a modified Linux Mint ISO, with a backdoor in it, and managed to hack our website to point to it.

Does this affect you?

As far as we know, the only compromised edition was Linux Mint 17.3 Cinnamon edition.

If you downloaded another release or another edition, this does not affect you. If you downloaded via torrents or via a direct HTTP link, this doesn’t affect you either.

Finally, the situation happened today, so it should only impact people who downloaded this edition on February 20th.

How to check if your ISO is compromised?

If you still have the ISO file, check its MD5 signature with the command “md5sum yourfile.iso” (where yourfile.iso is the name of the ISO).

The valid signatures are below:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso
If you still have the burnt DVD or USB stick, boot a computer or a virtual machine offline (turn off your router if in doubt) with it and let it load the live session.

Once in the live session, if there is a file in /var/lib/man.cy, then this is an infected ISO.

What to do if you are affected?

Delete the ISO. If you burnt it to DVD, trash the disc. If you burnt it to USB, format the stick.

If you installed this ISO on a computer:

Put the computer offline.
Backup your personal data, if any.
Reinstall the OS or format the partition.
Change your passwords for sensitive websites (for your email in particular).
Is everything back to normal now?

Not yet. We took the server down while we’re fixing the issue.

Who did that?

The hacked ISOs are hosted on 5.104.175.212 and the backdoor connects to absentvodka.com.

Both lead to Sofia, Bulgaria, and the name of 3 people over there. We don’t know their roles in this, but if we ask for an investigation, this is where it will start.

What we don’t know is the motivation behind this attack. If more efforts are made to attack our project and if the goal is to hurt us, we’ll get in touch with authorities and security firms to confront the people behind this.

If you’ve been affected by this, please do let us know.

http://blog.linuxmint.com/?p=2994

Karvameduusa

  • Käyttäjä
  • Viestejä: 1055
    • Profiili
Linux Mint:n palvelimille murtauduttu
« Vastaus #1 : 21.02.16 - klo:13.20 »
Lainaus
Rikolliset onnistuivat murtautumaan Linux Mint -jakeluversion palvelimelle ja vaihtamaan aidon iso-levykuvan takaovella varustettuun versioon.

Linux Mint -tiimin pomo Clement Lefebvre kertoo asiasta blogikirjoituksessaan. Bulgariaan jäljitetyt rikolliset onnistuivat vaihtamaan Linux Mintin verkkosivujen latauslinkit osoittamaan takaovella varustettuun haitalliseen iso-levykuvaan.

http://www.mikrobitti.fi/2016/02/latasitko-linux-mintin-20-helmikuuta-saatoit-saada-haittaohjelman/

kx

  • Käyttäjä
  • Viestejä: 708
    • Profiili
Eilen juuri päivittelin jo viime kesänä läppäriin asennettua Minttuani 17.2...3. Ei kai päivitysten suhteen ole mitään syytä huolestua troijalaisten imuroinnista?
HP Pro Intel i5-3470 core 4  3,2,Hz RAM 8 Gb+Kingston 240Gt SSD+ nVidia Gt730+Ubuntu 24.04.01 lts + W10Pro64-bit ja Samsung ML-2165 sekä CanoScan Lide300

Karvameduusa

  • Käyttäjä
  • Viestejä: 1055
    • Profiili
Eilen juuri päivittelin jo viime kesänä läppäriin asennettua Minttuani 17.2...3. Ei kai päivitysten suhteen ole mitään syytä huolestua troijalaisten imuroinnista?

Koskee lähinnä sivulta ladattuihin levykuviin, jos olet ladannut torrent:lla iso image:n syytä huoleen ei ole. Tai olet ladannut imagen ennen 20. helmikuuta.

XL180

  • Käyttäjä
  • Viestejä: 192
    • Profiili
Tämä ei ihan liity ketjun aiheeseen ,mutta sivuaa sitä.
Otin Mint Cinnamon 17.2 Rafaelan aiemmin pois.
Koska muutaman kerran aina vain viikonloppuisin se yritti lykätä outoja päivityksiä,joiden lähdettä ei löytynyt.

Nämä päivitykset ei asentuneet,vaikka vaihdoin maapalvelinta,joka on Mintissä helppoa.
Sain näytölle varoituksia,että nämä tarjotut päivitykset voivat olla haittaohjelmia.
Mietin silloin sitä,että yrittääkö joku aina viikonloppuisin tunkea Cinnamoniin jotakin.

Minullahan on kauan jo ollut vanhassa pöytäkoneessa Mint XFCE.
Se ei ole koskaan oirehtinut juuri mitenkään,ei myöskään uusin Rosa päivitys.
















spark

  • Käyttäjä
  • Viestejä: 1752
    • Profiili
Tämä ei ihan liity ketjun aiheeseen ,mutta sivuaa sitä.
Otin Mint Cinnamon 17.2 Rafaelan aiemmin pois.
Koska muutaman kerran aina vain viikonloppuisin se yritti lykätä outoja päivityksiä,joiden lähdettä ei löytynyt.

Nämä päivitykset ei asentuneet,vaikka vaihdoin maapalvelinta,joka on Mintissä helppoa.
Sain näytölle varoituksia,että nämä tarjotut päivitykset voivat olla haittaohjelmia.
Mietin silloin sitä,että yrittääkö joku aina viikonloppuisin tunkea Cinnamoniin jotakin.

Minullahan on kauan jo ollut vanhassa pöytäkoneessa Mint XFCE.
Se ei ole koskaan oirehtinut juuri mitenkään,ei myöskään uusin Rosa päivitys.

Siinä varmaan oli jotkut pakettilähteet lakanneet vain toimimasta. Samoja ilmoituksia tulee aina välilä minullekin.

cece

  • Käyttäjä
  • Viestejä: 24
    • Profiili
Mites tuon tarkastaa?Ei vissiin tikkua oo enää, eli onnistuuko kun kirjautuu sisään ja menee/var/lib/man.cy? Ja jos tuota ei man.cytä ole niin kaikki vissiin ok? Vaikee nyt tarkistaa kun töissä luurilla, mutta katsellaan kotona