Linux Mint網站被黑,下載鏈接指向帶有后門的ISO鏡像
你在2016年2月20日下載過Linux Mint嗎?你可能已經感染了病毒……
Linux Mint是目前最暢銷、最流行的Linux發行版,如果你最近剛下載并安裝了該操作系統,不幸的告訴你,你下載的可能是帶有惡意程序的ISO鏡像。
20日晚上,一些未知名的黑客或者組織入侵進了Linux Mint網站,替換了網站中的下載鏈接,指向一個提供了Linux Mint 17.3 Cinnamon版本惡意ISO鏡像的服務器。
Linux Mint 負責人Clement Lefebvre評論到:
“黑客們制作了一個修改版的Linux Mint ISO,在上面植入了后門,然后設法入侵了我們網站,把下載鏈接指向了這個修改版。”
誰會感染帶后門的Linux Mint呢?
Linux Mint團隊目前發現只有一個版本會受影響,它就是Linux Mint 17.3 Cinnamon版本。
入侵事件發生在20日晚上,所以受影響的人群只限制在周六晚上下載Linux Mint 17.3 Cinnamon版本的用戶。如果你是在20日之前下載或者卸載了Linux Mint 17.3 Cinnamon版本,那你就不會受到影響。如果你下載的是其他版本的Linux Mint,即便通過Torrent或者HTTP鏈接包含了Mint 17.3 Cinnamon,那也不會受影響。
攻擊詳情
黑客通過團隊的WordPress博客訪問了底層服務器,然后獲得了訪問數據的shell。調查小組的發現,黑客操控了Linux Mint下載頁面,并將下載鏈接指向了一個惡意FTP(文件傳輸協議)服務器上,該服務器被發現位于保加利亞(IP: 5.104.175.212)。受影響的Linux ISO 安裝了完整的操作系統(含有網絡中繼聊天(IRC)后門Tsunami),所以黑客便可以通過IRC服務器訪問了系統。
注: Tsunami是非常著名的Linux ELF木馬,一個簡單的IRC bot,用于發動DDoS攻擊。
黑客vs Linux Mint系統管理員
Linux Mint團隊迅速發現了這次黑客入侵,清除了網站上的惡意鏈接,隨之在Linux Mint博客上承認了這次入侵事件。但是不久之后,這群黑客又再次入侵了它們的下載頁面。
事實上,Linux Mint沒有清除掉黑客所利用的入侵端口,所以后來Linux Mint團隊選擇下線了整個 linuxmint域名,以防止ISO鏡像進一步的感染用戶。
“我們不清楚這次攻擊背后的目的是什么,如果攻擊者進一步的攻擊我們,并且他們的目標就是傷害我們,我們將會尋求法律和安全公司的幫助,找出背后的元兇。”
黑客售賣Linux Mint網站數據
黑客在網上售賣Linux Mint數據,全站數據僅售85美元。這些黑客們似乎是菜鳥,或者經驗不足的組織,有經驗的黑客一般不會選擇用IRC bot來攻擊最新的Linux發行版。而且從他們的入侵行為被發現之后又再次發動攻擊來看,他們也應該是經驗較少的黑客。
怎樣保護Linux設備安全?
ISO鏡像用戶可以先檢查簽名是否有效,對比設備的MD5簽名是否與官方版本一致。如果已經安裝了帶有后門的系統,建議執行以下步驟:
1.立即斷網
2.備份所有的數據
3.格式化或者重新安裝操作系統
4.更改敏感網站和郵箱的密碼
* 參考來源 thehackernews ,轉載請注明來自FreeBuf黑客與極客(FreeBuf.COM)
來自: http://www.freebuf.com/news/96693.html