Linux Mint gehackt

[DekWizArt]

https://www.bitblokes.de/2016/02/linux-mint-gehackt-iso-dateien-ueberpruefen-moegliche-backdoor/

Falls sich jemand gerade vor kurzem Linux Mint gezogen haben sollte.

 

[baizon]

Thread-Name ist sehr irreführend. Nicht Linux Mint wurde gehackt, sondern die Download-Server von Linux Mint, bzw. die ISOs.

 

[FileMakerDE]

Erste Versuche Linux zu unterwandern. Sehe ich das richtig?

 

[baizon]

@FileMakerDE
Nein, das ist einfach ein Fail von den Web-Admis. Daher meine Aussage, dass der Thread-Titel totaler Mist ist.

@Topic

LinuxMint didn't just have their ISOs backdoored. Their server and forum were dumped. It's up for sale online, asking price is ~$85 USD

Quelle: https://twitter.com/SteveD3/status/701297196289781762

 

[Mr.Seymour Buds]

Das ist echt mal ein fetter Fail. Will nicht wissen, wieviele Leute das überaus beliebte MINT gezogen haben und nun mit den Backdoors im Internet sind. Gna.

http://www.heise.de/newsticker/meldung/Schaedling-in-Linux-Mint-nach-Hack-der-Website-3113114.html

Die Website des Linux-Mint-Projekts wurde gehackt und die Angreifer haben Downloadern ein mit einer Backdoor infiziertes ISO-Image untergejubelt, wie die Betreiber im Mint-Blog berichten. Die Backdoor sammelt Passwörter und schickt sie vermutlich an eine bulgarische Seite; der Betreiber empfiehlt Betroffenen, alle Passwörter zu ändern, vor allem die von Mailzugängen.

Bisher habe man den Schädling nur in einem einzigen ISO finden können, nämlich der Cinnamon-Edition von Linux Mint 17.3 – die im Januar vorgestellten KDE- und Xfce-Editionen sind demnach nicht betroffen.

 

[FileMakerDE]

Nein, das ist einfach ein Fail von den Web-Admis.

Damit aber der Angriff überhaupt möglich ist muss doch jemand erst versuchen eine Schwachstelle zu finden.
Ähnlich wie bei Android und iOS werden nicht die Geräte bzw. Systeme an sich angegriffen (weil die sehr sicher sind), sondern die Bezugsquellen der Apps bzw. ISOs. Das bedarf schon einer gewissen kriminellen Energie. Also sehe ich da durchaus einen ersten Versuch Linux als solches zu schädigen. Wer weiß welche Distributionen/Spiegel noch betroffen sind. Dieser Angriff zeigt einen Weg auf, wie Kriminelle und vor allem Geheimdienste künftig auch Linux-Systeme angreifen könnten.

In Zukunft gilt also auch hier dass der Download nur von vertrauenswürdigen Quellen und unter Einbeziehung von MD5- oder SHA-Prüfsummen stattfinden sollte.

Der Titel ist trotzdem unglücklich gewählt. Einfach sensationslüstern.

 

[baizon]

@FileMakerDE
Ja, du meinst den Fehler (sichere Zugangsdaten)...

   forums.linuxmint.com pwd
  /root/hacked_distros/mint/var/www/forums.linuxmint.com
    forums.linuxmint.com cat config.php
  <?php
  // phpBB 3.0.x auto-generated configuration file
  // Do not change anything in this file!
  $dbms = 'mysql';
  $dbhost = 'localhost';
  $dbport = '';
  $dbname = 'lms14';
  $dbuser = 'lms14';
  $dbpasswd = 'upMint';

Quelle: https://news.ycombinator.com/item?id=11143162

 

[FileMakerDE]

@baizon
Oh mein Gott!

 

[Mr.Seymour Buds]

Ich bin kein Datenbankexperte, aber sollte bei

$dbpasswd = 'upMint';

nicht etwas anderes stehen?

 

[Linus9000]

Ja, sollte es. upMint ist kein sonderlich gutes Passwort

 

[mambokurt]

In Zukunft gilt also auch hier dass der Download nur von vertrauenswürdigen Quellen und unter Einbeziehung von MD5- oder SHA-Prüfsummen stattfinden sollte.

Der Titel ist trotzdem unglücklich gewählt. Einfach sensationslüstern.

Aha, und bisher hast du deine Linuximages von Warezsites geladen und nicht die Checksumme geprüft?
Das mache ich doch schon um zu sehen, ob der Download sauber durchgelaufen ist. Hätte nur im aktuellen Fall gar nichts gebracht, weil die Checksummen mit geändert wurden. Und bringt auch nichts gegen einen Geheimdienst, jedenfalls nicht solange die Seite nicht verschlüsselt ausgeliefert wird

Was mich an der Sache am meisten wurmt, ist dass für so eine Seite Wordpress genutzt wurde 0.o

 

[mensch183]

Ja, sollte es. upMint ist kein sonderlich gutes Passwort

Dein Vorredner meint vermutlich eher, dass Passwörter gar nicht im Klartext auf einem Server rumliegen sollten. Ein ordentliches Passwort hilft nicht weiter, wenn ein File mit Klartextpasswörtern runtergeladen werden konnte.

 

[mambokurt]

Dein Vorredner meint vermutlich eher, dass Passwörter gar nicht im Klartext auf einem Server rumliegen sollten. Ein ordentliches Passwort hilft nicht weiter, wenn ein File mit Klartextpasswörtern runtergeladen werden konnte.

Na das Datenbankpasswort muss man schon im Klartext hinterlegen, oder was wäre deine Alternative? Wenn es so weit ist dass da jemand die Configdateien auf dem Server auslesen kann ist der Drops eh gelutscht. Ganz großes Tennis ist dann natürlich dass die Forenpasswörter & Co mit einer angreifbaren Hashfunktion verschlüsselt wurden, damit haben sie sich echt selbst übertroffen -.-

 

[Chefkoch]

Hier geht´s weiter -> https://www.computerbase.de/forum/t...-mint-image-mit-hintertuer-im-umlauf.1561922/