Vírusírtó Blog

A világ legnépszerűbb Linux kiadása kártevővel fertőzött

2016.02.25. 10:00 G Data

titl160.jpgSajnos a hír igaz, azonban az ügy kimenetele nem annyira tragikus, mint ahogy lehetett volna. A Linux Mint a végfelhasználók számára az egyik legnépszerűbb Linux disztribúció, amint az a Distorwatch tavalyi listáján is látszik.

 

A Mint az Ubuntun alapszik, de az új felhasználóknak, akik Windowsról tértek át, a Mint jóval kevésbé lehet elrettentő, mint az Ubuntu barátságtalan felülete vagy a Debian technocentrikussága.

 

Mint azt a Mint projekt vezetője, Clement Lefebvre felfedte, az történt, hogy hackerek bejutottak és módosítottak egy PHP szkriptet, amely a Mint projekt által használt WordPress installáció részét képezte. Ha valaki a Mint letöltő weboldalát használta, a kártékony PHP szkript átirányította az érdeklődőt egy „sötét” oldalra.

 

Az egyelten letöltési verzió, amely érintett, az a Linux Mint 17.3 Cinnamon kiadás. Mindegyik kiadásnak megvan a saját kinézete és más felhasználói érzetet biztosít, mint a MATE, a KDE és az Xfce, azonban ezeket nem érinti az ügy.

 

A szélhámos szerver tartalmazza a Cinnamon 32 és 64 bites verzióit is, de csak a 64 bitest hackelték meg az eddigi ismeretek szerint. Az IP cím alapján a szerver egyébként valahol Bulgáriában van.

 

A bűnözők azonban nem voltak képesek hozzányúlni a Mint forráskódjához vagy hivatalos Mint ISO-khoz, sem a hivatalos letöltési ellenőrző összegekhez.

 

34634712_m.jpg

Összegezve: ha Mint felhasználók vagyunk és az elmúlt hétvégén letöltöttük a Mint 17.3 Cinnamon ISO-t, és nem validáltuk az ISO ellenőrző összegét a hivatalosan kiadott listával, majd telepítettük az ISO-t, akkor feltehetően akad egy kártevő a számítógépünkön.

 

A Mint blog szerint van egy egyszerű módja, hogy kiderítsük, érintettek vagyunk-e, csak bele kell nézni a /var/lib/man.cy: könyvtárba. Ha a könyvtár üres, akkor rendben vagyunk, de ha van benne egy fájl, akkor gyaníthatóan fertőződtünk.

 

A kártevő, ami ilyenkor felkerül gépünkre, a Linux/Tsunami-A vagy Kaiten néven ismert rosszindulatú szoftver.
Ez egy meglehetősen régi Linux bot vagy zombi, amelynek forráskódja is rendelkezésre áll. IRC szerverekhez csatlakozik, és instrukcókra vár a kontrollszervereknél lévő bűnözőktől. Általában túlterheléses (DoS) támadásokra kap parancsot, vagy más kártevők letöltésére.

 

Nem kell kétségbeesni, ha kiderül, hogy megfertőződtünk, csak szerezzünk be egy friss ISO-t és telepítsük újra, hogy lecseréljük a fertőzött verziót!

 

Forrás: nakedsecurity

Tetszett a bejegyzés? Lájkolj minket a Facebookon!

Címkék: kártevő Linux

6 hozzászólás

A bejegyzés trackback címe:

https://virusirto.blog.hu/api/trackback/id/tr678416476

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Hóhér az utolsó barátod · http://internetszemete.blog.hu 2016.02.25. 10:33:41

Vannak kétségeim, hogy a Mint lenne a legnépszerűbb.
De az egész írás is... inkább blikk színvonal.
Eleve ott kezdődik, hogy nem a Mint volt fertőzött, "mindössze" néhány ISO linkje lett módosítva, hogy egy preparált image-re mutassanak.
Bár ezzel az erővel az oldalon bármit módosíthattak volna a behatolók és saját tapasztalataim alapján még abban sem vagyok biztos, hogy a repok érintetlenek maradtak.

G Data 2016.02.25. 12:36:11

@Hóhér az utolsó barátod:

Kedves Hóhér,

Egyszerű a megoldás: ott van megjelölve a cikk forrása. Lekattintod, és megnézed.

A linux download statisztika:
sophosnews.files.wordpress.com/2016/02/distro-768.png?w=1005

Az eredeti cikk forrása:
nakedsecurity.sophos.com/2016/02/22/worlds-biggest-linux-distro-infected-with-malware/

Hóhér az utolsó barátod · http://internetszemete.blog.hu 2016.02.26. 10:50:20

@G Data: hm. Ha jól értem, a distrowatch.com mérése a saját látogatóik kattintásaira alapozza a népszerűségi indexet. Erősen kétlem, hogy reális lenne pl. a Red Hat 46. helyezése. Céges környezetben elég elterjedt amennyire tudom. Az meg, hogy a forrásotok hülyeséget ír... hát arról nem én tehetek. Nem "a mint" lett megfertőzve. Legalábbis a Mint fejlesztői szerint.

G Data 2016.02.26. 11:12:22

@Hóhér az utolsó barátod: Kedves Hóhér,
Mindez pontosan le van írva a cikkben.

Hozzá lehet tenni még azt is, hogy az egyszeri felhasználó szempontjából teljesen mindegy, hogy az eredeti forráson hosztolt Mint van megfertőződve, vagy pedig a Mint helyett egy másik Mint-et lehet letölteni, ami meg van fertőződve.

És azért, mert nem az eredeti Mint van megfertőződve, még az a Mint, amit a felhasználók az adott időszakban letöltöttek, az meg volt fertőződve....

Hóhér az utolsó barátod · http://internetszemete.blog.hu 2016.02.26. 13:44:45

@G Data: szvsz egyáltalán nem mindegy. Hogy egy linket írtak át, ami egy fertőzött ISO-ra mutat, az csak azokat érinti, akik rosszkor töltötték le az ISO-t és telepítették belőle a rendszert.
Ha a rendszer van megfertőzve, az kb. azt jelenti, hogy a repokba került szemét.
Na ez messze nem ugyanaz.
Itt mindössze arról van szó eddig, hogy az amúgy sem túl jó hírű wordpress kapott egy újabb pofont (legalábbis ameddig követtem a témát) és valamilyen ismert vagy eddig még ismeretlen lyukon át fértek hozzá ahhoz az oldalhoz, ahol az ISO linkek vannak, de ez az oldal teljes mértékben független a mint forráskódoktól, repoktól.

G Data 2016.02.26. 13:54:38

Kedves Hóhér,

1. Feltörték a weboldalt, ahol a link volt
2. Kicserélték a linket egy másikra,
3. A kicserélt linkről egy FERTŐZÖTT Mint disztribúciót lehetett letölteni.

Tehát egyrészt fertőzött volt a website, másrészt a linkről egy megfertőzött ISO töltődött le, és aki ezt telepítette (a checksum ellenőrzése nélkül), az egy fertőzött rendszert telepített.

Az operációs rendszerből nem nehéz egy fertőzött változatot készíteni. Sem ebből, sem másból. Ezért nem tanácsos például torrentezni az oprendszert.

Itt annyi volt még a "trükk", hogy a hivatalos forrás mutatott egy darabig egy fertőzött verzióra.

Világosan ott van a cikkben, hogy kicsoda, mikor és hogyan kaphatta meg a fertőzést.

Értesülj az új átverésekről a Facebookon!

Címkék

adatbiztonság (1) adathalászat (10) adatvédelem (36) Adobe (1) alkalmazás (13) amazon (1) android (36) android market (1) anonymus (1) apple (8) arcfelismerés (2) arcfelismerési technológia (1) átverés (41) Audi (1) bank (1) BankGuard (1) bankkártya (4) biometrikus azonosító (1) bitcoin (1) biztonság (21) blizzard (1) botnet (1) bouncer (1) celeb (1) cenzúra (1) chat (1) Chrome (1) cnn (1) csalás (8) csoport (1) cyberbullying (1) ddos (1) dnt (1) domén (1) e-book (1) e-mail (1) email (4) emoji (1) engedély (1) esemény (1) EU (1) europol (3) Facebook (10) facebook (129) Facebook hangulatjelek (1) fbi (3) felhő (1) felmérés (17) féreg (2) fiók (1) Flame (1) foci (1) frissítés (1) gdata (1) geotagging (2) Gmail (1) google (9) gps (1) gyermek (2) G Data (35) G data (3) g data (6) G Data BankGuard (1) G Data jelszómenedzser (1) G Data TotalProtection (1) hack (2) hacker (36) híresség (1) hoax (1) Hotmail (1) hozzáférés (2) hummer (1) idővonal (2) információbiztonság (2) instagram (4) intel (1) internet (4) internetbiz (1) internetbiztonság (62) ios (1) iOS (2) ipari kémkedés (1) jelszó (2) Jelszókezelő (1) jogok (3) kártevő (47) katasztrófa (1) kémkedés (1) kémprogram (1) keresés (1) kéretlen program (1) kiberbűnözés (2) kiberháború (3) kínai közösségi média (1) komment (1) közösségi média (1) közösségi portál (1) kriptobányászat (1) lájk (1) like (4) Linux (1) linux (1) mac (1) macintosh (1) maya (1) média (1) megosztás (6) metaadat (1) Microsoft (2) mobiltelefon (5) napló (1) Nigéria (3) okosóra (1) okostelefon (2) olimpia (1) online (3) Online bankolás (1) online bankolás (1) Ötven Cent Csoport (1) password (1) phising (1) Pokémon Go (1) Popcorn TIme (1) poszt (1) ransomware (13) rendőrség (2) rootkit (1) sérülékenység (9) skype (2) Skype (1) smart tv (5) spam (10) személyi (3) születésnap (1) szülői felügyelet (1) tartalomszűrés (1) tartózkodási hely (1) ThyssenKrupp (1) törlés (1) torrent (3) trójai (19) twitter (1) update (1) usb (5) vásárlás (1) védelem (2) végítélet (1) videó (1) vírus (2) virusirtó (1) vírusirtó (12) VirusTotal (1) visszaélés (1) Vista (1) vízjel (1) vodafone (1) warcraft (1) Weibo (1) whatsapp (1) wifi (3) Windows (2) windows (1) wordpress (1) World of Warcraft (1) WoW (1) Yahoo (1) Yahoo! (1) zaklatás (1) Zeus (1) zsaroló kártevő (5) Címkefelhő