Простите, я пришел с плохими новостями.

Мы подверглись вторжению. Оно было кратковременное и не должно повлиять на большое количество людей, но если оно коснулось вас, очень важно чтоб вы прочли следующую информацию.

Что случилось?

Хакеры создали модифицированный ISO-образ Linux Mint, с установленным в нем бэкдором и им удалось хакнуть наш сайт чтобы он указывал на него.

Отразится ли это на вас?

На сколько нам известно скомпрометировнной оказалась лишь версия Linux Mint 17.3 Cinnamon.

Если вы скачивали другой релиз (прим.: релиз < 17.3) или другое издание (прим.: KDE Edition, Xfce Edition или MATE Edition) это не отразится на вас. Если вы качали через торрент или через прямую HTTP ссылку это не отразится на вас.

И наконец, то что случилось сегодня, это должно отразиться только на людях которые скачали это издание (Linux Mint 17.3 Cinnamon) от 20 февраля.

Как проверить не скомпрометирован ли ваш ISO-образ?

Если у вас все еще есть ISOшник, проверьте его MD5-сумму командой “md5sum yourfile.iso”(где yourfile.iso имя вашего ISO-образа).

Верные MD5-суммы:

6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso

Если у вас все еще есть нарезанный DVD или загрузочная флешка с ISO-образом, чтобы загрузить с него компьютер или виртуалку (отключите маршрутизатор, если есть сомнения) в режим ознакомления.

Если в /var/lib/ присутствует файл man.cy — ISOшник инфицирован.

Что делать, если вы пострадали?

Удалите ISOшник. Если он нарезан на DVD выбросите диск. Если образ на флешке — отформатируйте ее.
Если же вы все таки уже установили инфицированный релиз на компьютер:

• Отключите сеть.
• Сделайте бэкап личных данных, если таковые имеются.
• Переустановите ОСь или отформатируйте раздел.
• Поменяйте пароли от наиболее важных сайтов (например от почты)

Теперь все наладилось?

Еще нет. Мы положили сервер пока работаем над устранением этой проблемы.

Кто это сделал?

Хакнутые ISOшники лежат на 5.104.175.212 и бэкдор подключался к absentvodka.com.
Оба указывают на Софию, Болгария и на имена 3-х человек от туда. Мы не знаем их роли, но если начнем расследование, то это то место от куда оно начнется.

То чего мы не знаем, так это мотивация этой атаки. Если атаки продолжатся с большей силой, и целью является навредить нашему проекту, мы свяжемся с властями и компаниями занимающимися безопасностью, чтобы противостоять этому.

Если вы пострадали от этого, пожалуйста, дайте нам знать.

Original: Beware of hacked ISOs if you downloaded Linux Mint on February 20th!