Προειδοποίηση από την ομάδα του Linux Mint, για modified με backdoor έκδοση του και υποκλοπή δεδομένων

[mzaf]

Η ομάδα της διανομής Linux Mint, ανακοίνωσε πως έπεσε θύμα hacking στις 20 Φεβρουαρίου, με αποτέλεσμα η έκδοση Linux Mint 17.3 Cinnamon edition (εκτιμούν πως δεν έχει επηρεαστεί άλλη) μολύνθηκε με backdoor.

Αναλυτικά.

We were exposed to an intrusion today. It was brief and it shouldn’t impact many people, but if it impacts you, it’s very important you read the information below.

What happened?

Hackers made a modified Linux Mint ISO, with a backdoor in it, and managed to hack our website to point to it.

Does this affect you?

As far as we know, the only compromised edition was Linux Mint 17.3 Cinnamon edition.

If you downloaded another release or another edition, this does not affect you. If you downloaded via torrents or via a direct HTTP link, this doesn’t affect you either.

Finally, the situation happened today, so it should only impact people who downloaded this edition on February 20th.

How to check if your ISO is compromised?

If you still have the ISO file, check its MD5 signature with the command “md5sum yourfile.iso” (where yourfile.iso is the name of the ISO).

The valid signatures are below:

6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso
If you still have the burnt DVD or USB stick, boot a computer or a virtual machine offline (turn off your router if in doubt) with it and let it load the live session.

Once in the live session, if there is a file in /var/lib/man.cy, then this is an infected ISO.

What to do if you are affected?

Delete the ISO. If you burnt it to DVD, trash the disc. If you burnt it to USB, format the stick.

If you installed this ISO on a computer:

Put the computer offline.
Backup your personal data, if any.
Reinstall the OS or format the partition.
Change your passwords for sensitive websites (for your email in particular).
Is everything back to normal now?

Not yet. We took the server down while we’re fixing the issue.

Who did that?

The hacked ISOs are hosted on 5.104.175.212 and the backdoor connects to absentvodka.com.

Both lead to Sofia, Bulgaria, and the name of 3 people over there. We don’t know their roles in this, but if we ask for an investigation, this is where it will start.

What we don’t know is the motivation behind this attack. If more efforts are made to attack our project and if the goal is to hurt us, we’ll get in touch with authorities and security firms to confront the people behind this.

If you’ve been affected by this, please do let us know.

Πηγή : Linux Mint blog

UPDATE

It was confirmed that the forums database was compromised during the attack led against us yesterday and that the attackers acquired a copy of it. If you have an account on forums.linuxmint.com, please change your password on all sensitive websites as soon as possible.

The database contains the following sensitive information:
◾Your forums username
◾An encrypted copy of your forums password
◾Your email address
◾Any personal information you might have put in your signature/profile/etc…
◾Any personal information you might written on the forums (including private topics and private messages)

People primarily at risk are people whose forums password is the same as their email password or as the password they use on popular or sensitive websites. Although the passwords cannot be decrypted, they can be brute-forced (found by trial) if they are simple enough or guessed if they relate to personal information.

Out of precaution we recommend all forums users change their passwords.

While changing your passwords, please start with your email password and do not use the same password on different websites

[Nikiforos]

Καλημερα, ωχ κακα νέα έχω βαλει σε 3 υπολογιστες τωρα τελευταια linux mint 17.3 Rosa αλλά είναι η έκδοση με XFCE, ελπιζω να μην έχει προβλημα!
λέει ομως αμα το κατεβασες στις 20 Φεβρουαριου, αρα πριν ή αν καναμε upgrade τοτε δεν εχουμε προβλημα, φαινεται η τροποποιηση εγινε μονο στο συγκεκριμενο ISO γιαυτο, αν καταλαβα σωστα.
H επίσημη σελίδα γιατί δεν μου ανοιγει? http://www.linuxmint.com/

[parigoritis]

Καλημερα, ωχ κακα νέα έχω βαλει σε 3 υπολογιστες τωρα τελευταια linux mint 17.3 Rosa αλλά είναι η έκδοση με XFCE, ελπιζω να μην έχει προβλημα!
λέει ομως αμα το κατεβασες στις 20 Φεβρουαριου, αρα πριν ή αν καναμε upgrade τοτε δεν εχουμε προβλημα, φαινεται η τροποποιηση εγινε μονο στο συγκεκριμενο ISO γιαυτο, αν καταλαβα σωστα.
H επίσημη σελίδα γιατί δεν μου ανοιγει? http://www.linuxmint.com/

Λογικά κάνουν ελέγχους για να δουν πώς κατάφεραν οι χακερρρζ να ανεβάσουν το modified iso στη θέση του κανονικού .

[Nikiforos]

και εσενα δεν σου ανοιγει η σελιδα?

[parigoritis]

Ε ναι , ψαχνούν αν βρουν το κενό ασφαλείας

[Nikiforos]

Σωστα εχεις δικιο, ειπα και εγω....

[Φιλόσοφος_Στ@ρχίδας]

Τίθεται ένα θέμα για όσους το έχουμε κατεβάσει στο παρελθόν...μήπως το'χουν ξαναπάθει και δεν το μυρίστηκαν λέω γω.

[mobinmob]

Λογικά κάνουν ελέγχους για να δουν πώς κατάφεραν οι χακερρρζ να ανεβάσουν το modified iso στη θέση του κανονικού .

Δεν ανέβασαν το iso στην θέση του κανονικού. Άλλαξαν τα links στην σελίδα των downloads για να δείχνουν στο iso στo δικο τους server. Αυτός είναι και ο λόγος που όσοι είχαν ολόκληρο το url για έναν από τους "επίσημους" servers η κατέβασαν με torrent δεν έχουν πρόβλημα.

- - - Updated - - -

Τίθεται ένα θέμα για όσους το έχουμε κατεβάσει στο παρελθόν...μήπως το'χουν ξαναπάθει και δεν το μυρίστηκαν λέω γω.

Υπάρχουν hashes για όλα τα isos στους mirrors τους, υπογεγραμμένα με gpg.

[christhenis]

Παίδες είναι νορμάλ;

Κώδικας:

Pinging absentvodka.com [127.0.0.1] with 32 bytes of data:
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128

Ping statistics for 127.0.0.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

[mzaf]

Το ενδιαφέρον είναι πως επηρεάζονται μόνο όσοι κατέβασαν απ'ευθείας από τη σελίδα του Mint.Όσοι το κατέβασαν μέσω τόρεντ,δεν έχουν πρόβλημα

[ztakis]

Μάλλον οι χάκερς αλλάξανε το DNS:

Κώδικας:

  dig +short absentvodka.com A
127.0.0.1

[minas]

Παίδες είναι νορμάλ;

Κώδικας:

Pinging absentvodka.com [127.0.0.1] with 32 bytes of data:
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128

Ping statistics for 127.0.0.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

Όπως είπε και ο @ztakis άλλαξαν το DNS. Το 127.0.0.1 είναι η τοπική διεύθυνση του υπολογιστή σου, επομένως κάνεις ping τον εαυτό σου .

[Godian]

Εγω παντως το εβαλα προχθες το ROSA την MATE εκδοση και πεταει . Απο τορεντ την κατεβασα παντως

[Nikiforos]

Ειπαν μονο με το cinnamon υπαρχει προβλημα και μονο απο αυτους που κατεβασαν χτες και μονο με την ISO απο την σελιδα, οχι απο torrent.
Εχω βαλει σε 3 μηχανηματα XFCE ομως αλλα πολυ ποιο πριν και ο λαπτοπ μου ειναι upgrade απο την 17.2 Rebecca.

[mzaf]

Μάλλον κάτι δεν κάνουν καλά εκεί στο Mint...
https://news.ycombinator.com/item?id=11143162
Θα ήθελα τα σχόλια των linux-geek μελών του φόρουμ