攻击者入侵Linux Mint网站以通过后门添加ISO

的Linux Mint警告说其网站已通过WordPress遭到黑客入侵,攻击者为Linux Mint 17.3 Cinnamon的ISO添加了后门。

“对不起,我不得不带来坏消息,” 的Linux Mint项目负责人Clement 勒费弗尔在宣布Linux Mint遭受入侵之前; 2月20日,“黑客制作了带有后门的经过修改的Linux Mint ISO,并设法入侵了我们的网站以指向它。”

并不是所有的Linux Mint, 排名 DistroWatch作为去年最受欢迎的Linux发行版,受到了影响,但是星期六从该站点仅下载了Linux Mint 17.3 Cinnamon版的ISO。 勒费弗尔指出,2月20日从网站下载的其他ISO版本以及通过种子或直接HTTP链接下载的Cinnamon版ISO都不会受到影响。

如果您昨天下载了Cinnamon版本,则Lefebvre建议用户比较MD5签名。但是,技术专家李美嘉(Micah Lee) 好像 由于攻击者还可能更改了MD5校验和,因此对此建议感到震惊。但是,如果您安装了受恶意感染的版本,则Lefebvre会说使PC脱机,重新安装一个干净的版本,然后更改您的电子邮件和其他密码。

攻击者通过WordPress,Lefebvre破坏了该网站 承认的 在评论中。 “被入侵的ISO托管在5.104.175.212上,后门连接到absentvodka.com。两者都通向保加利亚的索非亚,以及那里的3个人的名字。”

数据库在暗网上出售

勒费弗尔(Lefebvre)警告“提防被黑的ISO”后,安全意识强的人立即采取行动。 公民社会组织的史蒂夫·拉根(Steve 拉根)在TheRealDeal黑暗网络市场和 发推文 屏幕截图。

在黑暗的网络TheRealDeal市场上出售Linux Mint数据 史蒂夫·拉根(Steve 拉根)

拉根 发推文 “ 的LinuxMint不仅让他们的ISO成为后门。他们的服务器和论坛被抛弃了。它可以在网上出售,要价约为$ 85美元。”

看似有人购买了它,然后将Linux Mint论坛的配置文件放入了有关 黑客新闻.

在网站首次被“清理”后,黑客再次破坏了该网站

在Linux Mint博客上发表评论后,下载页面再次指向被入侵的Cinnamon ISO,Lefebvre 已确认 这是一次“第二次攻击”,该站点仍然容易受到攻击。 的Linux Mint小组再次采取行动,这次完全关闭了其服务器,搜索“第二次入侵的来源” –很可能是一开始遗留下来的残余物,然后关闭了攻击者用来获得访问权限的漏洞。

后门是一个海啸IRC机器人

勒费弗尔 添加 攻击者选择用老歌来污染薄荷的肉桂版 海啸 IRC bot。有了无限的选择余地,一些安全专家想知道为什么黑客费心寻找基于IRC的僵尸网络。海啸是“非常非常贫穷表现。作为荷兰的Fox-IT高级威胁情报分析师Yonathan Klijnsma 把它:

IRC bot已添加到Linux Mint 约纳森·克林斯马(Yonathan Klijnsma)

几个社交网站的讨论表明,攻击者必须是菜鸟。 软足症 表示,整个黑客活动都是“处理不当”,仅向论坛数据库索要$ 85的费用就表明“缺乏远见”。

软足症的Catalin Cimpanu 阐述 攻击者的经验不足:

他们最初被发现后便重新破坏了站点,这一事实也表明该小组缺乏经验。在他们的入口点仍然有效的同时,Linux Mint团队将责任归咎于WordPress网站,当所有线索都指向phpBB论坛时,所有黑客要做的就是等待。相反,他们升级了整个事件,在地下黑客论坛上投放了广告,最终引起了安全专家的注意,并迫使Linux Mint团队关闭了整个网站,切断了访问权限。

勒费弗尔表示,尽管Linux Mint不了解攻击者的动机,但“如果我们付出更多努力来攻击我们的项目,并且目标是伤害我们,我们将与有关当局和安全公司取得联系,以对付背后的人员这个。”

更新资料:史蒂夫·拉根(Steve 拉根)与我联系,说在黑客新闻中发布的phpBB的配置文件已从其他地方复制,作为黑客的“证明”。此外,海啸不是机器人的名字; “该代码称为Kaiten,自2001年左右以来一直是开源的。”

版权© 2016 IDG通讯,Inc.