21 февраля руководитель проекта Linux Mint, Клемент Лефебр [Clement Lefebvre], уведомил пользователей популярного дистрибутива, что официальный сайт проекта был взломан неизвестными лицами. Ссылки на скачивание дистрибутива вели на изменённые образы системы, в которые был встроен троян.
Руководитель проекта сообщил, что скомпрометирована оказалась, судя по всему, только версия Linux Mint 17.3 Cinnamon edition, ссылка на которую существовала на сайте 20 февраля. Тем немногим пользователям, которые скачали её, рекомендуется удалить этот файл – и, естественно, никуда её не устанавливать. Для проверки скачанных файлов можно использовать MD5 хэши, которые Лефебр указал в записи в блоге.
Пока что известно, что модифицированные ISO-файлы хостились в Болгарии, и уже всплыли имена трёх человек, причастных к их размещению.
По предварительным результатам расследования команда Linux Mint сделала заключение, что хакеры проникли на сервер через дыру в WordPress, и в результате получили управление www-data. Затем они смогли изменить страницу со ссылками так, что те стали указывать на болгарский сервер с IP 5.104.175.212
Однако после того, как команда Linux Mint исправила ссылки и сообщила об этом в своём блоге, хакеры снова изменили страничку со ссылками. В результате было решено временно полностью закрыть linuxmint.com, поскольку стало очевидно, что угроза не устранена.
Специалист по безопасности Йонатан Клийнсма [Yonathan Klijnsma] из компании Fox-IT предложил свою версию случившегося. Он обратил внимание, что за несколько часов до объявления в блоге Linux Mint о взломе, некто выставил на продажу на сайте TheRealDeal (находящемся в «тёмной» части интернета, на скрытых сервисах Tor) доступ на сайт linuxmint.
Хакер под ником peace_of_mind предлагал шелл-доступ, php mailer и полный дамп форума за 0.1910. Кто-то уже успел купить его и выложить на Hacker News конфигурационный файл форума phpBB:
// phpBB 3.0.x auto-generated configuration file
// Do not change anything in this file!
$dbms = 'mysql';
$dbhost = 'localhost';
$dbport = '';
$dbname = 'lms14';
$dbuser = 'lms14';
$dbpasswd = 'upMint';
В «поддельных» ISO-файлах было найдено лишь одно изменение – в файл man.cy был добавлен троян tsunami, который работает как IRC-бот и используется для DDOS-аттак. Он известен ещё с 2013 года.
Its 2016 and a popular Linux distribution ISO was modified and a backdoor was added, an IRC bot.. just a plain IRC bot...
— Yonathan Klijnsma (@ydklijnsma) 21 февраля 2016
Судя по тому, что хакеры встроили в дистрибутив такой несерьёзный «чёрный ход», выставили на продажу доступ к сайту, а потом ещё и выдали себя, повторно поменяв страницу, когда владельцы сайта считали, что устранили проблему – над проектом трудилась очень неопытная группа или один дилетант. И, учитывая популярность данного дистрибутива, исход дела можно назвать удачным.
Комментарии (21)
sumanai
22.02.2016 15:09-2$dbms = 'mysql';
Драйвер mysql в 2016, когда есть mysqli? Серьёзно?
vblats
22.02.2016 19:46+2Ну во-первых, не драйвер, а тип базы данных. Бывают mysql, mssql и тд.
А во-вторых, даже если и драйвер, то почему вы думаете что это плохо? Он дырявый? Медленный? Неудобный?sumanai
23.02.2016 17:07Вообще- то я про драйвер БД, в PHP есть три типа, умеющих работать с mysql- старый mysql (использует libmysqlclient), более новый mysqli (использует свой, более тесно интегрированный код) и универсальный PDO (только ООП).
Форумный движок phpBB поддерживает mysql и mysqli, и само собой второй предпочтительнее.
VovanZ
26.02.2016 18:58Драйвер mysqli, когда есть PDO? Серьёзно?
А вообще, они же не сами это писали, там написано, что это phpBB.
kma21
22.02.2016 22:46-3Wordpress — не секьюрно, MD5 — тоже не очень. Надо ребятам посоветовать какие-то книжки по безопасности для начинающих. Как-никак, один из самых популярных дистрибутивов, надо соответствовать статусу.
vblats
23.02.2016 13:45Любители дырявого Wordpress'а отстаивают секьюрность сего CMS методом активного минусования комментов и кармы?
limonte
24.02.2016 17:01+1Вас минусуют за "использовать все самописное". Глупость невиданная, учитывая богатейший выбор open-source инструментов.
vblats
24.02.2016 18:54Статья противоречит вашему утверждению.
limonte
24.02.2016 19:02+1Нет. Статья говорит о уязвимости WordPress. О невысоком качестве этого продукта все более-менее наслышаны. Ваш вывод "использовать все самописное" абсолютно нелогичен, потому как уязвимость одного продукта !== все open-source проекты уязвимы.
ARD8S
27.02.2016 01:24Т.е. изменённый ISO был только на болгарском зеркале?
Значит все, кто качаает через p2p пока в безопасности. Там не так просто хэш не подделать.
Для проверки скачанных файлов можно использовать MD5 хэши. Это обязательно надо делать. $ md5sum /home/~path
На самом деле, проблема серьёзнее, чем кажется. Если умудрились не особо запариваясь подменить ISO для сайта самого популярного дистрибутива…
$dbpasswd = 'upMint' Что-то как-то несерьёзно. Пароль такой был или «хакер» его на ЭТО поменял?
Melnix
27.02.2016 01:24А где этот файл man.cy находится, и мог ли прилететь измененный файл с обновлениями из репозитория Linux Mint? У себя я такого файла в системе вообще не нашел.
Vindicar
Может, найденный троян был отвлекающим маневром?
VokaMut
Наверно хакеры пытались починить неработающую у них уже давно регистрацию/авторизацию
CulHatsker
Что вы имеете в виду?
Vindicar
Ну, встречал комментарии что подсаженный троян крайне очевидный. Возможно, подсадили два трояна — очевидный, и не очень, в расчете что «уберут первый и успокоятся»? Хотя, если изменили только бинарные образы, то это не имеет смысла — пересоберут образ и всё.