Die gehackte Linux Mint-Site verteilt Backdoor-Distributionen

    Bild

    Am 21. Februar teilte der Linux Mint-Projektmanager Clement Lefebvre den Nutzern der beliebten Distribution mit, dass die offizielle Website des Projekts von unbekannten Personen gehackt wurde . Links zum Download der Distribution führten zu den modifizierten Systemimages, in die der Trojaner eingebaut war.

    Der Projektmanager sagte, dass anscheinend nur die Linux Mint 17.3 Cinnamon Edition-Version, zu der der Link auf der Site am 20. Februar bestand, kompromittiert wurde. Den wenigen Benutzern, die es heruntergeladen haben, wird empfohlen, diese Datei zu löschen - und sie natürlich nirgendwo zu installieren. Um die heruntergeladenen Dateien zu überprüfen, können Sie die MD5-Hashes verwenden, die Lefebrew im Blogeintrag angegeben hat.

    Bisher ist bekannt, dass die geänderten ISO-Dateien in Bulgarien gehostet wurden und die Namen von drei Personen, die an ihrer Bereitstellung beteiligt waren, bereits aufgetaucht sind.

    Nach vorläufigen Untersuchungsergebnissen gelangte das Linux Mint-Team zu dem Schluss, dass Hacker durch eine Lücke in WordPress in den Server eindrangen und dadurch die WWW-Datenkontrolle erlangten. Dann konnten sie die Seite mit Links ändern, sodass sie mit IP 5.104.175.212 auf den bulgarischen Server zeigten

    . Nachdem das Linux Mint-Team die Links reparierte und dies in ihrem Blog meldete, änderten die Hacker die Seite erneut mit Links. Infolgedessen wurde beschlossen, linuxmint.com vorübergehend vollständig zu schließen, da sich herausstellte, dass die Bedrohung nicht behoben wurde.

    Der Sicherheitsspezialist Yonathan Klijnsma von Fox-IT bot seine Version dessen an, was passiert ist. Er bemerkte, dass einige Stunden vor der Veröffentlichung des Blogposts von Linux Mint auf der linuxmint- Website von TheRealDeal (im "dunklen" Teil des Internets, in den versteckten Diensten von Tor) jemand zum Verkauf angeboten wurde.

    Ein Hacker mit dem Spitznamen peace_of_mind bot Shell-Zugriff, PHP-Mailer und einen vollständigen Forum-Dump für 0.1910 an. Jemand hat es bereits geschafft, es zu kaufen und die Konfigurationsdatei des phpBB-Forums auf Hacker News zu stellen:

      // phpBB 3.0.x auto-generated configuration file
      // Do not change anything in this file!
      $dbms = 'mysql';
      $dbhost = 'localhost';
      $dbport = '';
      $dbname = 'lms14';
      $dbuser = 'lms14';
      $dbpasswd = 'upMint';
    


    In den "gefälschten" ISO-Dateien wurde nur eine Änderung gefunden - der Tsunami-Trojaner wurde zur Datei man.cy hinzugefügt , die wie ein IRC-Bot funktioniert und für DDOS-Angriffe verwendet wird. Er ist seit 2013 bekannt.



    Gemessen an der Tatsache, dass Hacker eine so leichtfertige Hintertür in die Distribution eingebaut haben, den Zugriff auf die Site zum Verkauf angeboten haben und sich dann selbst ausgegeben haben und die Seite erneut geändert haben, als die Site-Eigentümer dachten, sie hätten das Problem behoben - eine sehr unerfahrene Gruppe arbeitete an dem Projekt oder ein Amateur. Angesichts der Popularität dieser Distribution kann der Ausgang des Falls als erfolgreich bezeichnet werden.

    Jetzt auch beliebt: