Взломанный сайт Linux Mint распространял дистрибутивы с «чёрным ходом»

    image

    21 февраля руководитель проекта Linux Mint, Клемент Лефебр [Clement Lefebvre], уведомил пользователей популярного дистрибутива, что официальный сайт проекта был взломан неизвестными лицами. Ссылки на скачивание дистрибутива вели на изменённые образы системы, в которые был встроен троян.

    Руководитель проекта сообщил, что скомпрометирована оказалась, судя по всему, только версия Linux Mint 17.3 Cinnamon edition, ссылка на которую существовала на сайте 20 февраля. Тем немногим пользователям, которые скачали её, рекомендуется удалить этот файл – и, естественно, никуда её не устанавливать. Для проверки скачанных файлов можно использовать MD5 хэши, которые Лефебр указал в записи в блоге.

    Пока что известно, что модифицированные ISO-файлы хостились в Болгарии, и уже всплыли имена трёх человек, причастных к их размещению.

    По предварительным результатам расследования команда Linux Mint сделала заключение, что хакеры проникли на сервер через дыру в WordPress, и в результате получили управление www-data. Затем они смогли изменить страницу со ссылками так, что те стали указывать на болгарский сервер с IP 5.104.175.212

    Однако после того, как команда Linux Mint исправила ссылки и сообщила об этом в своём блоге, хакеры снова изменили страничку со ссылками. В результате было решено временно полностью закрыть linuxmint.com, поскольку стало очевидно, что угроза не устранена.

    Специалист по безопасности Йонатан Клийнсма [Yonathan Klijnsma] из компании Fox-IT предложил свою версию случившегося. Он обратил внимание, что за несколько часов до объявления в блоге Linux Mint о взломе, некто выставил на продажу на сайте TheRealDeal (находящемся в «тёмной» части интернета, на скрытых сервисах Tor) доступ на сайт linuxmint.

    Хакер под ником peace_of_mind предлагал шелл-доступ, php mailer и полный дамп форума за 0.1910. Кто-то уже успел купить его и выложить на Hacker News конфигурационный файл форума phpBB:

      // phpBB 3.0.x auto-generated configuration file
      // Do not change anything in this file!
      $dbms = 'mysql';
      $dbhost = 'localhost';
      $dbport = '';
      $dbname = 'lms14';
      $dbuser = 'lms14';
      $dbpasswd = 'upMint';
    


    В «поддельных» ISO-файлах было найдено лишь одно изменение – в файл man.cy был добавлен троян tsunami, который работает как IRC-бот и используется для DDOS-аттак. Он известен ещё с 2013 года.



    Судя по тому, что хакеры встроили в дистрибутив такой несерьёзный «чёрный ход», выставили на продажу доступ к сайту, а потом ещё и выдали себя, повторно поменяв страницу, когда владельцы сайта считали, что устранили проблему – над проектом трудилась очень неопытная группа или один дилетант. И, учитывая популярность данного дистрибутива, исход дела можно назвать удачным.
    Support the author
    Share post

    Similar posts

    Comments 21

      +1
      Может, найденный троян был отвлекающим маневром?
        +10
        Наверно хакеры пытались починить неработающую у них уже давно регистрацию/авторизацию
          0
          Что вы имеете в виду?
            0
            Ну, встречал комментарии что подсаженный троян крайне очевидный. Возможно, подсадили два трояна — очевидный, и не очень, в расчете что «уберут первый и успокоятся»? Хотя, если изменили только бинарные образы, то это не имеет смысла — пересоберут образ и всё.
          +3
          Черный ход вместо backdoor…
          Дни русского языка на GT?
          • UFO just landed and posted this here
            –2
            $dbms = 'mysql';

            Драйвер mysql в 2016, когда есть mysqli? Серьёзно?
              +2
              Ну во-первых, не драйвер, а тип базы данных. Бывают mysql, mssql и тд.
              А во-вторых, даже если и драйвер, то почему вы думаете что это плохо? Он дырявый? Медленный? Неудобный?
                0
                Вообще- то я про драйвер БД, в PHP есть три типа, умеющих работать с mysql- старый mysql (использует libmysqlclient), более новый mysqli (использует свой, более тесно интегрированный код) и универсальный PDO (только ООП).
                Форумный движок phpBB поддерживает mysql и mysqli, и само собой второй предпочтительнее.
                0
                Драйвер mysqli, когда есть PDO? Серьёзно?

                А вообще, они же не сами это писали, там написано, что это phpBB.
                +2
                С этого дня буду проверять подписи всех скачиваемых образов, спасибо Linux Mint
                  0
                  Где теперь получать обновления?
                  –3
                  > команда Linux Mint сделала заключение, что хакеры проникли на сервер через дыру в WordPress
                  А разве кто-то сомневался? Еще один повод использовать все самописное.
                    0
                    Проверенное, не факт, что самописное окажется надежнее уже существующего продукта.
                    –3
                    Wordpress — не секьюрно, MD5 — тоже не очень. Надо ребятам посоветовать какие-то книжки по безопасности для начинающих. Как-никак, один из самых популярных дистрибутивов, надо соответствовать статусу.
                      0
                      Любители дырявого Wordpress'а отстаивают секьюрность сего CMS методом активного минусования комментов и кармы?
                        +1
                        Вас минусуют за "использовать все самописное". Глупость невиданная, учитывая богатейший выбор open-source инструментов.
                          0
                          Статья противоречит вашему утверждению.
                            +1
                            Нет. Статья говорит о уязвимости WordPress. О невысоком качестве этого продукта все более-менее наслышаны. Ваш вывод "использовать все самописное" абсолютно нелогичен, потому как уязвимость одного продукта !== все open-source проекты уязвимы.

                        0
                        Т.е. изменённый ISO был только на болгарском зеркале?
                        Значит все, кто качаает через p2p пока в безопасности. Там не так просто хэш не подделать.

                        Для проверки скачанных файлов можно использовать MD5 хэши. Это обязательно надо делать. $ md5sum /home/~path

                        На самом деле, проблема серьёзнее, чем кажется. Если умудрились не особо запариваясь подменить ISO для сайта самого популярного дистрибутива…

                        $dbpasswd = 'upMint' Что-то как-то несерьёзно. Пароль такой был или «хакер» его на ЭТО поменял?
                          0
                          А где этот файл man.cy находится, и мог ли прилететь измененный файл с обновлениями из репозитория Linux Mint? У себя я такого файла в системе вообще не нашел.

                          Only users with full accounts can post comments. Log in, please.