Abo
  • Services:
Anzeige
Wer sich am Wochenende Linux Mint heruntergeladen hat, sollte seine Installation überprüfen.
Wer sich am Wochenende Linux Mint heruntergeladen hat, sollte seine Installation überprüfen. (Bild: Screenshot Golem.de)

Security: Backdoor in Linux-Mint-ISOs

Wer sich am Wochenende Linux Mint heruntergeladen hat, sollte seine Installation überprüfen.
Wer sich am Wochenende Linux Mint heruntergeladen hat, sollte seine Installation überprüfen. (Bild: Screenshot Golem.de)

Die Webseite der beliebten Linux-Distribution Linux Mint wurde am Wochenende offenbar kurzfristig übernommen - mindestens einen Tag lang verteilte die Webseite ein kompromittiertes Installations-Image mit Malware. Außerdem wurden Nutzerdaten kopiert.

Das Linux-Mint-Projekt warnt in seinem Blog vor zwei Sicherheitsgefahren. Einerseits wurde am Samstag und Sonntag kurzfristig eine kompromittierte ISO-Datei verteilt, die eine Backdoor enthalten soll. Außerdem wurde eine Kopie der Forendatenbank mit den persönlichen Daten der Nutzer entwendet. Die Projektwebseite ist zurzeit offline, nur der Blog funktioniert noch.

Anzeige

Von der gehackten ISO-Datei sind Nutzer betroffen, die am Samstag Linux Mint 17.3 Cinnamon Edition heruntergeladen haben - egal ob in der 32- oder der 64-Bit-Version und ob mit oder ohne Codecs. Ab welchem Zeitpunkt genau die kompromittierten Images verteilt wurden, ist nicht klar - Nutzer können ihre Dateien aber mit Hilfe der MD5-Hashes (am Ende dieses Beitrags) prüfen.

Wer die ISO-Datei nicht mehr hat, aber damit eine DVD oder einen Live-USB-Stick erstellt hat, kann davon (am besten im Offlinemodus) booten. Wenn im Verzeichnis /var/lib/ die Datei man.cy enthalten ist, handelt es sich um eine kompromittierte Version. Nutzer sollten dann die DVD vernichten und den USB-Stick neu formatieren.

Installierte Rechner sollten neu aufgesetzt werden

Wer seinen Rechner schon mit einer infizierten ISO aufgesetzt hat, sollte den Rechner in den Offlinemodus schalten, möglicherweise vorhandene persönliche Dateien sichern und den Rechner neu aufsetzen. Außerdem empfiehlt das Team, Passwörter für wichtige Accounts neu zu vergeben.

Andere Verbreitungswege der ISO-Dateien, etwa über Torrents, sollen nicht betroffen sein. Die Webseite des Projekts wurde offenbar durch eine Schwachstelle in Wordpress angegriffen. Bei der installierten Backdoor soll es sich um eine Version der Tsunami/Kaiten-Malware handeln. Damit können Angreifer Dateien auf den Rechner der Opfer herunterladen und ausführen, Shell-Kommandos ausführen, HTTP- und IRC-Kommunikation ausführen und die infizierten Rechner in ein Botnetz verwandeln. Die infizierten ISO-Dateien wurden in Bulgarien unter der Domain 5.104.175.212 gehostet. Infizierte Rechner nehmen Verbindung zur Domain absentvodka.com auf.

Bei dem Angriff wurde offenbar außerdem die Datenbank des Forums kompromittiert. Wie es im Blog heißt, haben die Angreifer damit Zugriff auf den Nutzernamen, eine "verschlüsselte Version des Forenpasswortes" (vermutlich sollte es hier eigentlich 'gehasht' heißen, zum genutzten Verfahren gibt es bislang keine Angaben), die verwendete E-Mail-Adresse, persönliche Daten in der Signatur oder im Profil und die Informationen aus privaten Nachrichten und Themen, die im Forum verfasst wurden.

Hashwerte zum Überprüfen

Die von Linux Mint bereitgestellten MD5-Hashes:

6e7f7e03500747c6c3bfece2c9c8394f "linuxmint-17.3-cinnamon-32bit.iso"

e71a2aad8b58605e906dbea444dc4983 "linuxmint-17.3-cinnamon-64bit.iso"

30fef1aa1134c5f3778c77c4417f7238 "linuxmint-17.3-cinnamon-nocodecs-32bit.iso"

3406350a87c201cdca0927b1bc7c2ccd "linuxmint-17.3-cinnamon-nocodecs-64bit.iso"

df38af96e99726bb0a1ef3e5cd47563d "linuxmint-17.3-cinnamon-oem-64bit.iso"

Es gibt eine Kopie der Hashes, inklusive SHA-256-Summen. Wer noch nie eine Hashsumme überprüft hat, findet hier eine Anleitung.


eye home zur Startseite
glasen77 22. Feb 2016

Dann liegt deine Erfahrung aber bestimmt schon mehrere Jahre zurück. Bei mir läuft der...

kendon 22. Feb 2016

e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso Da gibt es keine man...



Anzeige

Stellenmarkt
  1. Katholische Universität Eichstätt-Ingolstadt, Eichstätt
  2. operational services GmbH & Co. KG, Wolfsburg
  3. Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe
  4. über Ratbacher GmbH, Stuttgart (Home-Office möglich)


Anzeige
Spiele-Angebote
  1. 319,00€
  2. 59,99€ (Vorbesteller-Preisgarantie)
  3. 34,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Nintendo

    Super Mario Run für iOS läuft nur mit Onlineverbindung

  2. USA

    Samsung will Note 7 in Backsteine verwandeln

  3. Hackerangriffe

    Obama will Einfluss Russlands auf US-Wahl untersuchen lassen

  4. Free 2 Play

    US-Amerikaner verzockte 1 Million US-Dollar in Game of War

  5. Die Woche im Video

    Bei den Abmahnanwälten knallen wohl schon die Sektkorken

  6. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  7. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  8. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  9. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  10. Kein Internet

    Nach Windows-Update weltweit Computer offline



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Super Mario Bros. (1985): Fahrt ab auf den Bruder!
Super Mario Bros. (1985)
Fahrt ab auf den Bruder!
  1. Quake (1996) Urknall für Mouselook, Mods und moderne 3D-Grafik
  2. NES Classic Mini im Vergleichstest Technischer K.o.-Sieg für die Original-Hardware

Kosmobits im Test: Tausch den Spielecontroller gegen einen Mikrocontroller!
Kosmobits im Test
Tausch den Spielecontroller gegen einen Mikrocontroller!
  1. HiFive 1 Entwicklerboard mit freiem RISC-Prozessor verfügbar
  2. Simatic IoT2020 Siemens stellt linuxfähigen Arduino-Klon vor
  3. Calliope Mini Mikrocontroller-Board für deutsche Schüler angekündigt

HPE: Was The Machine ist und was nicht
HPE
Was The Machine ist und was nicht
  1. IaaS und PaaS Suse bekommt Cloudtechnik von HPE und wird Lieblings-Linux
  2. Memory-Driven Computing HPE zeigt Prototyp von The Machine

  1. Re: Diese ganzen angeblichen F2P sollte man...

    JouMxyzptlk | 06:44

  2. Klassisches White Collar Crime

    JouMxyzptlk | 06:34

  3. Re: Lenkradsteuerung?

    Andi K. | 04:32

  4. Re: Das Ultimative Update

    Andi K. | 04:25

  5. Re: Mensch Hauke

    teenriot* | 04:18


  1. 17:27

  2. 12:53

  3. 12:14

  4. 11:07

  5. 09:01

  6. 18:40

  7. 17:30

  8. 17:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel