ComputerBase Menü
Aktuelles

News Linux Mint: Gefälschtes Mint-Image mit Hintertür im Umlauf

Angreifern ist es gelungen ein solcherart modifiziertes Image zu konstruieren, um die Webseite von Linux Mint unter ihre Kontrolle zu bringen und die Download-Links auf das manipulierte Image umzubiegen.
Dazu wurde eine Wordpress-Instanz gehackt, die dann den Zugriff auf das Verzeichnis www-data ermöglichte.
Zum Vergrößern anklicken....

Wie genau konnte(n) der/die Hacker mit einer manipulierten ISO den Webserver hacken?

Der zweite Weg ist dabei zuverlässiger, da die Seiten von Linux Mint nicht per HTTPS ausgeliefert werden und somit die Md5-Hashes gefälscht sein könnten.
Zum Vergrößern anklicken....

Was sollte es helfen, die Seite mit dem MD5-Hash über HTTPS auszuliefern? Weil HTTPS mir dann bestätigt, dass es auch sicher der Server ist, den der Hacker gehackt hat? Clement Lefebvre dazu:

http://blog.linuxmint.com/?p=2994&_utm_source=1-2-2#comment-124888
Doesn’t do much good to post hashes on a site that’s not served over TLS.

When will *.linuxmint.com go https only?

Edit by Clem: It’s planned and I’m hoping it’ll happen soon. Please note that this wouldn’t have helped here though. You’d be served the exact same hacked information via HTTPs.
Zum Vergrößern anklicken....

Und weil hier gefragt wurde: Updates der Distribution sind sicher. Die Pakete sind GPG-Signiert. Nur die ISO zur erstinstallation ist betroffen. Selbst wenn Hacker Zugriff zum Repository ha(e)tten, würde das Update-Tool beim Aktualisieren eine Warnung anzeigen, dass die GPG-Signatur nicht verifiziert werden kann. Egal ob die Updates über HTTP oder HTTPS laufen.

Und meiner Meinung nach ebenfalls News-würdig: Die Hacker haben/hatten auch Zugriff auf das Forum. Angeblich steht die Datenbank zum verkauf: https://news.ycombinator.com/item?id=11143162 https://twitter.com/0xUID/status/701301535842684928

Edit: LinuxMint Blog Post zum Forum: http://blog.linuxmint.com/?p=3001
 
Zuletzt bearbeitet:
walker1973 schrieb:
was ich Vermisse ist das mal jemand die MD5 und SHA256 Sums Postet das wäre für die User vielleicht nicht Schlecht um mal Ihre Images zu Überprüfen.
Falls jemand diese braucht habe ich die Dateien damit mal angehänkt für Mint 17.3
Zum Vergrößern anklicken....

Hättest nicht machen brauchen...auf blog.linuxmint.com sind diese erwähnt:

"The valid signatures are below:

6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso"
 
Danke, für die Info aber mein Linux Mint ist gottseidank clean. :cool_alt:

Ich habe es mir vor ca 2 Wochen installiert. Als ich nach den Image im Internet gegooglet habe, kam ich auf einer Seite, die mir äußerst fragwürdig war. Da war auch so eine sehr hübche Dame und irgendwelche Werbung. Das kam mir überhaupt nicht Linux-artig vor.

Ich finde es eine unmöglich von Google, dass die nicht die Suchergebnisse auf gefälschte und korrupter Software filtern.

Andere Beispiele:
Die Links mir äußerster Vorsicht öffnen. Am Bestern unter Linux. Ich übernehme keine Verantwortung.
VLC Fake VLC richtig
Irfan View Fake IrfanView richtig
Ich bin neulich sogar auf ein gefälschtes Android gestoßen.

Ich fand es gut, dass Windows 10 von Hause aus erkennt, dass ich den gefälschen Irfan View runter geladen habe. Unter Win7 hätte ich mir 100% Malware raufgezogen. Das fällt selbst mir schwer zu erkennen, was korrupt ist.

Am Besten ist es unter Linux. Software Center öffnen => Installieren, fertig. Sicher und nicht Korrupt.
 
Zuletzt bearbeitet:
Da lobe ich mir die alternative Suchmaschine duckduckgo. Dort steht an den Ergebnissen dran "Official Site", so dass man weiß, dass es kein Fake ist.
 
DaMoN1993 schrieb:
Wie genau konnte(n) der/die Hacker mit einer manipulierten ISO den Webserver hacken?

Das ist etwas merkwürdig ausgedrückt, da hast Du Recht. Der Webserver wurde natürlich nicht mit dem gefälschten Image gahacked.
Zum Vergrößern anklicken....
 
Termy schrieb:
der effektivste Angriffsvektor ist immernoch der User ;)
An der Stelle bietet Linux aber gegenüber Windows mehr nativen Schutz (wenn man von absoluten DAUs mal absieht) davor, einen Schädling tief ins System zu bekommen - klar ist aber auch, dass auch Linux angreifbar ist, wenn jemand bei jeder Abfrage ohne nachzudenken Root-Rechte verteilt ^^

Dass hier jetzt der DL einer Distri korrumpiert wurde ist natürlich schon bitter (und - hoffentlich - ist es schwerer, die Windows-Update-Server anzugreifen), aber zum einen höre ich da jetzt zum ersten mal von und zum anderen muss man ja sagen, dass die Reaktionszeit positiv schnell ist :)
Zum Vergrößern anklicken....

was schliesst denn aus, das es bei linux weniger daus gibt wie bei windows? ich denke da nur an leute die z.b. einfach auf einen link klicken, obwohl der offensichtlich nicht von whats app ist(z.b. alleine die adresse war schon offensichtlich falsch)^^
 
feidl74,

die DAUs sind zwar gleichverteilt, aber der weltweit verbreitete Schadcode ist nicht gleichverteilt. Der ist zu 99% für Windows.
 
computerfrust schrieb:
Dort steht an den Ergebnissen dran "Official Site", so dass man weiß, dass es kein Fake ist.
Zum Vergrößern anklicken....

Blöd nur das es die "official Site" war die gehackt wurde und das manipulierte Image zum Download anbot...


Das ganze Zeigt aber das es auf Open Source Angriffsvektoren gibt mit denen man im ersten Moment nicht rechnet. Es gab ja auch schon Fälle von manipuliertem Sourcecode in der Sourceverwaltung. Man sollte immer Wachsam sein und die Augen offen halten...
 
feidl74 schrieb:
was schliesst denn aus, das es bei linux weniger daus gibt wie bei windows? ich denke da nur an leute die z.b. einfach auf einen link klicken, obwohl der offensichtlich nicht von whats app ist(z.b. alleine die adresse war schon offensichtlich falsch)^^
Zum Vergrößern anklicken....

Das meinte ich nicht, aber wenn eben ein DAU auf einen Link klickt kann die Malware nicht machen was sie will - ausser der DAU gibt auch noch das root-passwort bei der Abfrage ein ;)
Natürlich gibt es auch DAUs die dann einfach das Passwort eingeben, aber Leuten, die vielleicht nicht Technik-Affin aber zumindest nicht völlig verblödet sind sollte dann doch was spanisch vorkommen, wenn "einfach so" ne Root-Abfrage kommt ^^
 
Jesterfox schrieb:
Blöd nur das es die "official Site" war die gehackt wurde und das manipulierte Image zum Download anbot...
Zum Vergrößern anklicken....
Ich weiß, das war nicht als Antwort auf den Artikel gedacht, sondern auf den Beitrag von crustenscharbap, der Google erwähnt hatte.
 
Die Frage ist doch jetzt, ob die anderen Distro-Anbieter ihre Server und ISO's auf Schadcode überprüft haben, nach dieser Nachricht
 
@SkittlesEater
Wieso sollten sie. Es ist (oder sollte) Standard sein, dass der/die Admin(s) es immer machen. Wie gesagt, es wurde schon vor langer Zeit gewarnt (2013). Mint ist da noch schlampig in Bezug auf Sicherheit gewesen, was der Hauptgrund für dieses Desaster war. Debian gibt es so lange und dort passiert nichts.
 
Termy schrieb:
Das meinte ich nicht, aber wenn eben ein DAU auf einen Link klickt kann die Malware nicht machen was sie will - ausser der DAU gibt auch noch das root-passwort bei der Abfrage ein ;)
Natürlich gibt es auch DAUs die dann einfach das Passwort eingeben, aber Leuten, die vielleicht nicht Technik-Affin aber zumindest nicht völlig verblödet sind sollte dann doch was spanisch vorkommen, wenn "einfach so" ne Root-Abfrage kommt ^^
Zum Vergrößern anklicken....

Und wenn du unter Windows die UAC-Admin-Abfrage bekommst nicht? Sowohl bei Linux als auch Windows brauchst du Adminrechte für den meisten Schadcode und bei beiden Systemen bekommst du diese Rechte nur über die Abfrage, sofern keine Lücken im System sind und die gibt es auch auf beiden Systemen.
 
Artikel-Update: Nicht nur ein Image von Linux Mint wurde kompromittiert, auch das Forum unter forums.linuxmint.com ist betroffen. Anwender mit einem Konto dort werden automatisch zum Ändern ihres Passworts aufgefordert werden, sobald das Forum wieder online ist. Wer das Passwort für das Mint-Forum noch an anderer Stelle nutzt, sollte dringend auch dort das Passwort ändern.

Die Datenbank des Forums wurde bereits gestern für 85 US-Dollar zum Kauf angeboten. Den Einbrechern fiel das gesamte Forum mit Namen, E-Mail-Adressen, verschlüsselten Passwörtern, Profilen und privaten Nachrichten in die Hände.
 
Oh Shrek oh Graus... warum muss das jemand der Mint Community antun? Als ob es nicht andere Ziele gäbe, wo sie Leute ärgern könnten...
 
fethomm schrieb:
Artikel-Update: Die Datenbank des Forums wurde bereits gestern für 85 US-Dollar zum Kauf angeboten...
Zum Vergrößern anklicken....

Nur 85 USD?
Weiß hier jemand ob das ein "gewöhnlicher Kurs" dafür ist und sich über die Menge rentiert oder werden die Mint Forenuser einfach als so wertlos erachtet?
 
Trefoil80 schrieb:
Ich stelle mir noch gerade eine andere Frage: Wie stellt MintUpdate sicher, dass während einer Aktualisierung kein Schadcode in mein vorher sauberes System eingeschleust wird?

Werden die Updates über https ausgeliefert? Werden die Hashes automatisiert überprüft?
Zum Vergrößern anklicken....

Pakete werden mit PGP signiert. Solange die Private Keys nicht auf dem Webserver liegen (ich hoffe mal nicht) kann da nichts passieren.
 
erst die images und jetzt das forum, ist mint schon "zu" beliebt um es gleich zu attackieren :rolleyes:
doof für die user des forums und für alle die das manipulierte image installiert haben.

:freaky:
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

scooter010
Leserartikel Installation von Arch Linux mit ZFS-root auf x86 QNAP von 2010
Antworten
4
Aufrufe
1.681
scooter010
scooter010
kim88
Leserartikel Pop!_OS ein Linux 🐧 das begeistert
2 3 4
Antworten
70
Aufrufe
24.570
kim88
kim88
ibm9001
Erfahrungsbericht: GPU Passthrough mit AMD Ryzen 5700G auf einem ITX Mainboard BIOSTAR B550T-Silver
Antworten
14
Aufrufe
8.582
ibm9001
ibm9001
Arjab
[Erfahrungsbericht] Virtualisierung mit PCI-Passthrough auf Manjaro Linux
2 3
Antworten
59
Aufrufe
24.658
Xenophon61
X
Pupp3tm4st3r
Leserartikel Supermicro A1SAi-2750F mit Intel Atom C2750 [Avoton]
2 3
Antworten
50
Aufrufe
36.700
Karrazz
Karrazz

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz