Sajnos a hír igaz, azonban az ügy kimenetele nem annyira tragikus, mint ahogy lehetett volna. A Linux Mint a végfelhasználók számára az egyik legnépszerűbb Linux disztribúció, amint az a Distorwatch tavalyi listáján is látszik.
A Mint az Ubuntun alapszik, de az új felhasználóknak, akik Windowsról tértek át, a Mint jóval kevésbé lehet elrettentő, mint az Ubuntu barátságtalan felülete vagy a Debian technocentrikussága.
Mint azt a Mint projekt vezetője, Clement Lefebvre felfedte, az történt, hogy hackerek bejutottak és módosítottak egy PHP szkriptet, amely a Mint projekt által használt WordPress installáció részét képezte. Ha valaki a Mint letöltő weboldalát használta, a kártékony PHP szkript átirányította az érdeklődőt egy „sötét” oldalra.
Az egyelten letöltési verzió, amely érintett, az a Linux Mint 17.3 Cinnamon kiadás. Mindegyik kiadásnak megvan a saját kinézete és más felhasználói érzetet biztosít, mint a MATE, a KDE és az Xfce, azonban ezeket nem érinti az ügy.
A szélhámos szerver tartalmazza a Cinnamon 32 és 64 bites verzióit is, de csak a 64 bitest hackelték meg az eddigi ismeretek szerint. Az IP cím alapján a szerver egyébként valahol Bulgáriában van.
A bűnözők azonban nem voltak képesek hozzányúlni a Mint forráskódjához vagy hivatalos Mint ISO-khoz, sem a hivatalos letöltési ellenőrző összegekhez.
Összegezve: ha Mint felhasználók vagyunk és az elmúlt hétvégén letöltöttük a Mint 17.3 Cinnamon ISO-t, és nem validáltuk az ISO ellenőrző összegét a hivatalosan kiadott listával, majd telepítettük az ISO-t, akkor feltehetően akad egy kártevő a számítógépünkön.
A Mint blog szerint van egy egyszerű módja, hogy kiderítsük, érintettek vagyunk-e, csak bele kell nézni a /var/lib/man.cy: könyvtárba. Ha a könyvtár üres, akkor rendben vagyunk, de ha van benne egy fájl, akkor gyaníthatóan fertőződtünk.
A kártevő, ami ilyenkor felkerül gépünkre, a Linux/Tsunami-A vagy Kaiten néven ismert rosszindulatú szoftver.
Ez egy meglehetősen régi Linux bot vagy zombi, amelynek forráskódja is rendelkezésre áll. IRC szerverekhez csatlakozik, és instrukcókra vár a kontrollszervereknél lévő bűnözőktől. Általában túlterheléses (DoS) támadásokra kap parancsot, vagy más kártevők letöltésére.
Nem kell kétségbeesni, ha kiderül, hogy megfertőződtünk, csak szerezzünk be egy friss ISO-t és telepítsük újra, hogy lecseréljük a fertőzött verziót!
Forrás: nakedsecurity