Linus Mint, sotto attacco: verificate che il vostro non sia infetto

Naviga SWZ: Home Page » News
News del 23 Febbraio 16 Autore: Pinter
Linux Mint è una delle distribuzioni linux più utilizzate attualmente. Se per caso aveste scaricato di recente l’ISO di questa distro linux vi sconsigliamo di installarla.

Pochissimi giorni fa il leader del progetto Mint chiamato Clement Lefebver ha dichiarato che il portale web del sistema è stato violato e l’ISO di installazione è stato modificato con l’aggiunta di una backdoor, ovvero un sistema per penetrare facilmente nel sistema una volta installato.

Mi dispiace dovervi dare una brutta notizia. Siamo stati vittima di una intrusione. E’ stata circoscritta nel tempo e non dovrebbe avere impattato molte persone, ma nel caso tu sia stato impattato è opportuno che legga le informazioni riportate di seguito.” Ecco il comunicato che è apparso rilasciato dal responsabile del progetto Linux Mint.

Il messaggio è diretto a tutte quelle persone che abbiano scaricato la distro dopo sabato 20/02.

Il sito della popolare distribuzione Linux Mint è stato hackerato nel weeekend appena trascorso: sabato 20 febbraio un gruppo di hacker ha preso il controllo del sito ed ha sostituito i riferimenti all’immagine ISO della versione Linux Mint 17.3 Cinnamon edition con quelli che puntavano ad una versione infetta del sistema operativo. La notizia è stata divulgata da Clement Lefebvre, il capo del progetto Linux Mint. Lefebvre ha spiegato che il web sito di Linux Mint è stato compromesso e che gli hacker lo hanno usato per distribuire una ISO infetta di Linux Mint 17,3 Cinnamon edition.

Linus Mint, sotto attacco: verificate che il vostro non sia infetto - immagine 1

Gli hacker hanno preparato una immagine ISO del sistema operativo Linux Mint contenente un codice malevolo, trattasi di una backdoor che potrebbe fornire accesso alla macchina di chi lo installa. Successivamente alla compromissione del sito ufficiale hanno fatto in modo che i link utilizzati per il download puntassero alla versione infetta. Gli utenti che hanno scaricato la versione di Linux Mint 17,3 Cinnamon edition prima di Sabato, o qualsiasi altra versione non sono interessati dall’attacco.
Al momento è stata ripristinata una condizione normale di esercizio del sito, ovvero sono stati rimossi i riferimenti alle versioni infette.

Lefebvre esorta gli utenti a verificare l’impronta dell’immagine ISO scaricata dal sito ufficiale ed a confrontarla con quelle delle immagini legittime.

Verificare l’hash dell’immagine è semplice … basta lanciare il comando

- md5sum yourfile.iso

- dove yourfile.iso è il nome del file dell’immagine ISO

Confrontate quindi il valore ottenuto con quelli presenti nella lista seguente, e qualora non vi fosse corrispondenza avrete la certezza che il file non sia integro. Ciò significa che potrebbe essere corrotto, potrebbe non essere quello corretto e nella peggiore delle ipotesi potrebbe essere una versione infetta dell’immagine legittima.

6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso

A questo punto coloro che hanno già masterizzato una immagine di Linux Mint dovrebbero eseguire l’immagine in una macchina virtuale disconnessa dalla rete e verificare la presenza del file /var/lib/man.cy, un indicatore del fatto che ci si trovi dinanzi una versione infetta.

Se la versione in vostro possesso è effettivamente infetta non vi resta che cancellare la ISO dopo aver fatto un backup dei dati, formattare il supporto su cui è stata masterizzata ed installare una versione pulita. Vi suggerisco ovviamente di utilizzare una password differente da quella della precedente installazione, la backdoor potrebbe aver già fatto il suo lavoro.

Nel caso dell’attacco specifico, il server su cui era localizzata l’immagine infetta corrispondeva all’IP 5.104.175.212 e la backdoor puntava al dominio absentvodka.com, entrambi conducono a 3 individui in Bulgaria, ma non abbiamo notizie circa il loro coinvolgimento.
Inserisci un commento sul forum Commenta la News sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE