Abo
  • Services:
Anzeige
Wer sich am Wochenende Linux Mint heruntergeladen hat, sollte seine Installation überprüfen.
Wer sich am Wochenende Linux Mint heruntergeladen hat, sollte seine Installation überprüfen. (Bild: Screenshot Golem.de)

Security: Backdoor in Linux-Mint-ISOs

Wer sich am Wochenende Linux Mint heruntergeladen hat, sollte seine Installation überprüfen.
Wer sich am Wochenende Linux Mint heruntergeladen hat, sollte seine Installation überprüfen. (Bild: Screenshot Golem.de)

Die Webseite der beliebten Linux-Distribution Linux Mint wurde am Wochenende offenbar kurzfristig übernommen - mindestens einen Tag lang verteilte die Webseite ein kompromittiertes Installations-Image mit Malware. Außerdem wurden Nutzerdaten kopiert.

Das Linux-Mint-Projekt warnt in seinem Blog vor zwei Sicherheitsgefahren. Einerseits wurde am Samstag und Sonntag kurzfristig eine kompromittierte ISO-Datei verteilt, die eine Backdoor enthalten soll. Außerdem wurde eine Kopie der Forendatenbank mit den persönlichen Daten der Nutzer entwendet. Die Projektwebseite ist zurzeit offline, nur der Blog funktioniert noch.

Anzeige

Von der gehackten ISO-Datei sind Nutzer betroffen, die am Samstag Linux Mint 17.3 Cinnamon Edition heruntergeladen haben - egal ob in der 32- oder der 64-Bit-Version und ob mit oder ohne Codecs. Ab welchem Zeitpunkt genau die kompromittierten Images verteilt wurden, ist nicht klar - Nutzer können ihre Dateien aber mit Hilfe der MD5-Hashes (am Ende dieses Beitrags) prüfen.

Wer die ISO-Datei nicht mehr hat, aber damit eine DVD oder einen Live-USB-Stick erstellt hat, kann davon (am besten im Offlinemodus) booten. Wenn im Verzeichnis /var/lib/ die Datei man.cy enthalten ist, handelt es sich um eine kompromittierte Version. Nutzer sollten dann die DVD vernichten und den USB-Stick neu formatieren.

Installierte Rechner sollten neu aufgesetzt werden

Wer seinen Rechner schon mit einer infizierten ISO aufgesetzt hat, sollte den Rechner in den Offlinemodus schalten, möglicherweise vorhandene persönliche Dateien sichern und den Rechner neu aufsetzen. Außerdem empfiehlt das Team, Passwörter für wichtige Accounts neu zu vergeben.

Andere Verbreitungswege der ISO-Dateien, etwa über Torrents, sollen nicht betroffen sein. Die Webseite des Projekts wurde offenbar durch eine Schwachstelle in Wordpress angegriffen. Bei der installierten Backdoor soll es sich um eine Version der Tsunami/Kaiten-Malware handeln. Damit können Angreifer Dateien auf den Rechner der Opfer herunterladen und ausführen, Shell-Kommandos ausführen, HTTP- und IRC-Kommunikation ausführen und die infizierten Rechner in ein Botnetz verwandeln. Die infizierten ISO-Dateien wurden in Bulgarien unter der Domain 5.104.175.212 gehostet. Infizierte Rechner nehmen Verbindung zur Domain absentvodka.com auf.

Bei dem Angriff wurde offenbar außerdem die Datenbank des Forums kompromittiert. Wie es im Blog heißt, haben die Angreifer damit Zugriff auf den Nutzernamen, eine "verschlüsselte Version des Forenpasswortes" (vermutlich sollte es hier eigentlich 'gehasht' heißen, zum genutzten Verfahren gibt es bislang keine Angaben), die verwendete E-Mail-Adresse, persönliche Daten in der Signatur oder im Profil und die Informationen aus privaten Nachrichten und Themen, die im Forum verfasst wurden.

Hashwerte zum Überprüfen

Die von Linux Mint bereitgestellten MD5-Hashes:

6e7f7e03500747c6c3bfece2c9c8394f "linuxmint-17.3-cinnamon-32bit.iso"

e71a2aad8b58605e906dbea444dc4983 "linuxmint-17.3-cinnamon-64bit.iso"

30fef1aa1134c5f3778c77c4417f7238 "linuxmint-17.3-cinnamon-nocodecs-32bit.iso"

3406350a87c201cdca0927b1bc7c2ccd "linuxmint-17.3-cinnamon-nocodecs-64bit.iso"

df38af96e99726bb0a1ef3e5cd47563d "linuxmint-17.3-cinnamon-oem-64bit.iso"

Es gibt eine Kopie der Hashes, inklusive SHA-256-Summen. Wer noch nie eine Hashsumme überprüft hat, findet hier eine Anleitung.


eye home zur Startseite
glasen77 22. Feb 2016

Dann liegt deine Erfahrung aber bestimmt schon mehrere Jahre zurück. Bei mir läuft der...

kendon 22. Feb 2016

e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso Da gibt es keine man...



Anzeige

Stellenmarkt
  1. SICK AG, Waldkirch bei Freiburg im Breisgau
  2. Deutsche Bundesstiftung Umwelt, Osnabrück
  3. Ratbacher GmbH, Großraum Melsungen
  4. COSMO CONSULT, Berlin


Anzeige
Spiele-Angebote
  1. ab 59,99€ (Vorbesteller-Preisgarantie)
  2. 59,99€/69,99€ (Vorbesteller-Preisgarantie)
  3. 69,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Counter-Strike Go

    Bei Abschuss Ransomware

  2. Hacking

    Microsoft beschlagnahmt Fancy-Bear-Infrastruktur

  3. Die Woche im Video

    Strittige Standards, entzweite Bitcoins, eine Riesenkonsole

  4. Bundesverkehrsministerium

    Dobrindt finanziert weitere Projekte zum autonomen Fahren

  5. Mobile

    Razer soll Smartphone für Gamer planen

  6. Snail Games

    Dark and Light stürmt Steam

  7. IETF

    Netzwerker wollen Quic-Pakete tracken

  8. Surface Diagnostic Toolkit

    Surface-Tool kommt in den Windows Store

  9. Bürgermeister

    Telekom und Unitymedia verweigern Open-Access-FTTH

  10. Layton's Mystery Journey im Test

    Katrielle, fast ganz der Papa



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten
  3. Space10 Ikea-Forschungslab untersucht Umgang mit KI

Neuer A8 vorgestellt: Audis Staupilot steckt noch im Zulassungsstau
Neuer A8 vorgestellt
Audis Staupilot steckt noch im Zulassungsstau
  1. Autonomes Fahren Continental will beim Kartendienst Here einsteigen
  2. Verbrenner Porsche denkt über Dieselausstieg nach
  3. Autonomes Fahren Audi lässt Kunden selbstfahrenden A7 testen

Anker Powercore+ 26800 PD im Test: Die Powerbank für (fast) alles
Anker Powercore+ 26800 PD im Test
Die Powerbank für (fast) alles
  1. Toshiba Teures Thunderbolt-3-Dock mit VGA-Anschluss
  2. Asus Das Zenbook Flip S ist 10,9 mm flach
  3. Anker Powercore+ 26800 PD Akkupack liefert Strom per Power Delivery über USB Typ C

  1. Re: Achso

    forenuser | 12:23

  2. Re: Monorail

    Malukai | 12:21

  3. Re: Ich kaufe mir ein E-Auto wenn...

    Berner Rösti | 12:19

  4. Re: Darum Internetspiele immer nur Isoliert...

    DetlevCM | 12:15

  5. Re: Conti bleib bei deinen Reifen

    PiranhA | 12:01


  1. 12:43

  2. 11:54

  3. 09:02

  4. 16:55

  5. 16:33

  6. 16:10

  7. 15:56

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel