A világ legnépszerűbb Linux kiadása kártevővel fertőzött

Sajnos a hír igaz, azonban az ügy kimenetele nem annyira tragikus, mint ahogy lehetett volna.
A Linux Mint a végfelhasználók számára az egyik legnépszerűbb Linux disztribúció, amint az a Distorwatch tavalyi listáján is látszik.

A Mint az Ubuntun alapszik, de az új felhasználóknak, akik Windowsról tértek át, a Mint jóval kevésbé lehet elrettentő, mint az Ubuntu barátságtalan felülete vagy a Debian technocentrikussága.

Mint azt a Mint projekt vezetője, Clement Lefebvre felfedte, az történt, hogy hackerek bejutottak és módosítottak egy PHP szkriptet, amely a Mint projekt által használt WordPress installáció részét képezte. Ha valaki a Mint letöltő weboldalát használta, a kártékony PHP szkript átirányította az érdeklődőt egy „sötét” oldalra.

Az egyetlen letöltési verzió, amely érintett, az a Linux Mint 17.3 Cinnamon kiadás. Mindegyik kiadásnak megvan a saját kinézete és más felhasználói érzetet biztosít, mint a MATE, a KDE és az Xfce, azonban ezeket nem érinti az ügy.

A szélhámos szerver tartalmazza a Cinnamon 32 és 64 bites verzióit is, de csak a 64 bitest hackelték meg az eddigi ismeretek szerint. Az IP cím alapján a szerver egyébként valahol Bulgáriában van.

A bűnözők azonban nem voltak képesek hozzányúlni a Mint forráskódjához vagy hivatalos Mint ISO-khoz, sem a hivatalos letöltési ellenőrző összegekhez.

17427417_m

Összegezve: ha Mint felhasználók vagyunk és az elmúlt hétvégén letöltöttük a Mint 17.3 Cinnamon ISO-t, és nem validáltuk az ISO ellenőrző összegét a hivatalosan kiadott listával, majd telepítettük az ISO-t, akkor feltehetően akad egy kártevő a számítógépünkön.

A Mint blog szerint van egy egyszerű módja, hogy kiderítsük, érintettek vagyunk-e, csak bele kell nézni a /var/lib/man.cy: könyvtárba. Ha a könyvtár üres, akkor rendben vagyunk, de ha van benne egy fájl, akkor gyaníthatóan fertőződtünk.

A kártevő, ami ilyenkor felkerül gépünkre, a Linux/Tsunami-A vagy Kaiten néven ismert rosszindulatú szoftver.
Ez egy meglehetősen régi Linux bot vagy zombi, amelynek forráskódja is rendelkezésre áll. IRC szerverekhez csatlakozik, és instrukcókra vár a kontrollszervereknél lévő bűnözőktől. Általában túlterheléses (DoS) támadásokra kap parancsot, vagy más kártevők letöltésére.

Nem kell kétségbeesni, ha kiderül, hogy megfertőződtünk, csak szerezzünk be egy friss ISO-t és telepítsük újra az operációs rendszert, hogy lecseréljük a fertőzött verziót!

Forrás: nakedsecurity

1 Comment

  1. Norbert Kármán szerint:

    64 bites Linux mintem van 😀

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.