Linux Mint, una de las distribuciones GNU/Linux más populares ha sufrido una intrusión de seguridad en la que los asaltantes se han hecho temporalmente con el control de su web y han introducido puertas traseras en una de sus últimas ediciones: Linux Mint 17.3 Cinnamon.
Las buenas noticias es que el equipo liderado por Clement Lefebvre ha descubierto con rapidez la intrusión, que solo afectaría a las imágenes descargadas ayer día 20 desde su web (en el caso de las realizadas vía torrent no se verían afectadas)
Según comenta Lefebvre en el blog de la distro (y todo parece indicar que es el verdadero Clem 🙂 ), la intrusión se realizó aprovechando una debilidad en wordpress, el sistema de gestión de contenidos (CMS) sobre el que se aloja el proyecto (el hecho de no utilizar https quizás también tenga algo que ver)
Aunque se desconocen los motivos del ataque parece que existe una “conexión bulgara “ en el origen del mismo y la gente de Mint ya está en contacto con las autoridades para investigar el ataque.
El archivo infectado sería /var/lib/man.cy y el malware encargado de hacer el trabajo sucio sería un troyano Unix llamado Tsunami que se conectaría a un sitio web desde el ordenador de la victima. A partir de ahí, puede obligar al equipo a formar parte de una red de bots o interceptar sus contraseñas.
En todo caso la recomendación es obvia: cualquier instalación realizada en las últimas 24 horas con Linux Mint 17.3 está comprometida, por lo que lo más seguro es efectuar una reinstalación con una ISO limpia (o probar temporalmente con otra distro… será por posibilidades en GNU/Linux…) prestando atención a que la suma de verificación sea correcta (para más seguridad lo podéis comprobar en este link con firma GPG incluida)
6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso 30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso 3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso
Algo bastante sencillo de hacer:
md5sum archivo.iso
En el caso de haber accedido a servicios de correo electrónico, cuentas bancarias, etc. tampoco estaría de más cambiar la contraseña de los mismos.
Para que quede todo claro, indicar que esto solo afecta a los que ayer descargaron la ISO de Linux Mint 17.3 Cinnamon y que los demás usuarios de la distro están a salvo, no viéndose afectados los repositorios que proporcionan las actualizaciones de software.
Realmente preocupante. Menos mal que se reacciona rápidamente.Saludos.
Linuxmint atacado o linuxmint ha sufrido una intrusión, pero ya vasta por favor de maltratar la palabra hackear
Pues tienes razón! tomo nota para la próxima.
Estuve a poner lo de «sufre una intrusión» pero se me hacía demasiado largo el título, lo de «atacado» era buena opción 🙂
basta va con B
huy!!! 🙁
Si me parece bien, el hackeo es un arte de jugar con cosas o código para que hagan algo diferente a lo que deberian hacer , creo que Tannhausser lo sabe tb, lo que pasa es que con tal cantidad de mal uso de la palabra a veces escribimos y ni damos cuenta de que no esta del todo bien usada. A mi me pasa tb y eso que tengo tremendo respecto por los hackers , más aún usando GNU/Linux sin ellos muchos más Winderos habria y no exisitiran tantas opciones. La historia le debe a ellos una gran contribución , creo yo. Asi que vivan los hackers y el hacking es inerente a todo ser humano quien nunca uso un boligrafo para tirar pepelitos con presion de aire de la boca, pues eso es hackear el boligrafo! Todos tenemos un poquito de hackers y todos nos merecemos ese respeto. Aunque Tannhausser le paso lo que a mi a veces se ve la palabra tan mal usada que terminas usandola tu mal.
Para la próxima que pongan seguridad a su página, la culpa la tuvieron ellos para empezar. Ni https tienen, ¡por Dios! Que vergüenza.
Amigo mio limosna hace falta a todos para poder dar hay que tener, no crees que con pocos fondos monetarios pagar buen soporte host puede ser un problema que ponga en causa el mismo devenir del proyecto, haz hecho alguna donacion monetaria? Si no pues todos los proyectos lo agradecen , sin dinero mucho hacen en dar sin pedir creo yo asi que usan lo que más en conta salga y mira que hacen una labor increible y eso que yo no uso Mint, pero les estoy enormemente agradecido , todos hicieramos asi y el mundo seria mucho pero mucho mejor – ayuda sin pedir nada en troca eso si es una ayuda que vale 2 , al ayudar recibes ,ese es el espiritu Linuxero.
La página de openSUSE está blindada, por poner un ejemplo, y no deberían depender únicamente de donaciones.
Pero entiendo (en mi ignorancia) que las modificacion fueron hechas a nivel de Kernel?
Se especificó cuántos usuarios se vieron expuestos o afectados? O Cuántas bajadas de las copias ISO
hubo en el lapso de tiempo que duró la intrusión?
Bueno y el tío (No digo kacker) que hizo eso ¿Que ha ganado?.Quizás estará abonando el terreno para fabricar y vender antivirus, en cuyo caso sí tendría justificación.Justificación malvada por supuesto.
Por lo pronto están vendiendo la base de datos de la web por unos 79 dólares (no parece gran cosa) que incluye las credenciales de usuarios de los foros de linux mint.
https://twitter.com/0xUID/status/701432102324203521
Desde hace varios meses leemos noticias de agujeros de seguridad en nuestro sistema GNU/Linux, muchos de estos problemas fueron rapidamente resueltos y no fueron realmente tan peligrosos como la prensa los ha querido hacer ver.
Pero este sin embargo me parece un problema importante pues demuestra un gran fallo en la seguridad de la distribución más usada hoy en día.
Ya sea por exceso de de confianza o por ingenuidad, el tener la pagina web tan desprotegida es realmente preocupante.
Si esto lo pueden hacer unos bandidos búlgaros que no habrán hecho las agencias de seguridad o personas que quieren dañar este proyecto?
Amigo mio un problema más que de Mint del soporte de comparticion via web. Pero claro el tema que tocas es importante pero tiene una respuesta muy sencilla , depende de nosotros mismos, nosotros somos el sistema ya que en GNU/Linux el usuário es el fin asi que más gente mirando agujeros, códigos etc le pone las cosas malas a esos que quieran explotarlo, es la unica garantia que tenemos y la mayor – nosotros , nuestra etica y nuestra contribucion pues aqui al contrario de otros – todos contamos.
Y como seran los windows desatendidos que andan circulando en la red, esos si deben estar llenos de»extras»
Con mi consola de comandos mejorada llamada gestor-jou podria hacer un proceso de identificar al malware detener su proceso y eliminarlo en modo superusuario.
Lamentablemente ese es el precio de la popularidad. Y no debería extrañarnos que otras distros populares también sean atacadas (ojalá no y tomen precauciones de este q
Muy buenas, una consulta sobre este tema de malwares en linux……….
Alguien me recomendaría algún programa para correr que verifique estas cosas?? que revise también en firefox etc. digamos por las dudas. saludos y gracias
En Linux Mint Debian (no la basada en Ubuntu que es la comprometida) aparece estas herramientas para malware al hace apt-cache search malware
clamav-unofficial-sigs – update script for 3rd-party clamav signatures
courier-filter-perl – purely Perl-based mail filter framework for the Courier MTA
libcgi-formalware-perl – Perl module for converting an XML file into a suite of CGI forms
neopi – web shell code detection
pyew – Python tool like radare or *iew for malware analysis
python-pefile – Portable Executable (PE) parsing module for Python
libyara-dev – help to identify and classify malwares (development files)
libyara3 – help to identify and classify malwares (shared library)
python-yara – help to identify and classify malwares (Python bindings)
python3-yara – help to identify and classify malwares (Python 3 bindings)
yara – help to identify and classify malwares
Ahora puedes usar antivirus para Linux (de pago y sin acceso al source) y ver la comparativa
https://www.av-test.org/es/pdfnews/253
Si tuviera que elegir, sería karpesky endpoint security (ojo, hay 2 versiones de kaspersky) en la cual tiene una detección del 100% de malware para Linux y 96,3% para winbugs. ¿Por que el mejor?? porque es el único que detecta el 100% en Linux y con un porcentaje cercano para windows (y además, quién le interesa esta puerta trasera… perdón, ventana trasera).
Normalmente descargo Mint desde torrents y compruebo el MD5. Sin embargo, ya sabes Replicante, que no suele ser lo habitual.
Hasta la persona que realizó el ataque lo reconoce, no sabe para que se tomó la molestia de modificarlos XD
«Who the f**k checks those anyway?»
http://www.zdnet.com/article/hacker-hundreds-were-tricked-into-installing-linux-mint-backdoor/
Al final lo más seguro es comprobar la validez de la firma de verificación mediante GPG, pero tampoco es algo al alcance de todos los usuarios