Linux Mint inficeret med bagdør og spredt via officiel hjemmeside

Den officielle Linux Mint-hjemmeside har henvist til ISO'er med en bagdør.

Hvis du har hentet Linux-distributionen Linux Mint for nylig, skal du måske overveje at hente en anden udgave.

I et blogindlæg fortæller leder af Linux Mint-projektet Clement Lefebvre, at det er lykkedes hackere at trænge ind på distributionens officielle site og få download-links til at pege på modificerede udgaver af den relativt populære Linux-distribution.

Resultatet er, at Linux Mint hentet omkring 20. februar kan have været inficeret med en bagdør. Det fremgår af blogindlægget, at den ramte Linux-udgave - så vidt vides - er Linux Mint 17.3 Cinnamon edition.

Af blogindlægget fremgår det, at det specifikt er iso-filer hentet den 20. februar, der er problematiske. På Reddit fortæller brugere dog om, at Mint-sitet også efter den 20. skulle have peget på de skadelige ISO-filer, hvorefter hovedsitet blev taget ned. Og www.linuxmint.com lader da heller ikke til at være tilgængeligt i skrivende stund.

The Hacker News fortæller, at der er tale om IRC-bagdørssoftwaren til Linux kaldet Tsunami.

Det er muligt at tjekke, hvis man stadig har iso-filen liggende, om der er tale om en valid udgave eller ej, via kommandoen md5sum og så fil-navnet på iso’en.

De valide signaturer er:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

Hvis en mistænkt distro ligger på eksempelvis en usb-nøgle, så foreslås det i blogindlægget at cutte internetforbindelsen og boote ind i en live-session. Og så herefter se, om der ligger en fil på /var/lib/man.cy Hvis der gør det, er der tale om en inficeret version.

De hackede ISO'er har ligget på ip-adressen 5.104.175.212, og bagdøren har forsøgt at kommunikere med absentvodka.com.

Begge steder leder ifølge blogindlægget til Bulgariens hovedstad, Sofia, og tre navngivne personer.

Af kommentarsporet under blogindlægget fremgår det, at Linux Mint-sitet er blevet kompromitteret via CMS'et Wordpress.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (6)

Anne-Marie Krogsbøll

Amatørspørgsmål: Kan dette problem have nogen sammenhæng med, at jeg netop i dag ikke kan komme til min browser, Firefox, idet jeg får en fejlside med teksten "unable to connect. Firefox can't connect to LinuxMint.com/rafaelea" (sådan cirka)

Er Linux Mint nede pga. af dette, og er Firefox afhængig af LinuxMint-siden, eller er der en vej rundt om det?

Anne-Marie Krogsbøll

hej Christian.

Tak for svaret.

Det har nu fungeret indtil nu uden problemer, derfor undrer det mig, at den pludseligt ikke vil mere. Men jeg vil da følge dit råd, hvis den bliver ved med at drille.

Log ind eller opret en konto for at skrive kommentarer