Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari  (gelezen 7645 keer)

Offline Maik

  • Lid
  • Steunpunt: Nee
Clem heeft een bericht gepost dat Linux Mint zwaar getroffen heeft. Hackers zijn erin geslaagd een gemodificeerde iso te maken met een backdoor erin en hebben de website gehacked om ernaar te verwijzen. Tot nu zou het alleen gaan om Linux Mint 17.3 Cinnamon:

http://blog.linuxmint.com/?p=2994
« Laatst bewerkt op: 2016/02/21, 10:12:27 door TopGear »

Offline TopGear

  • Forumteam
  • Steunpunt: Ja
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #1 Gepost op: 2016/02/21, 10:16:06 »
Ik heb even de topic titel iets minder gesensationaliseerd en het topic in Algemeen vastgezet, omdat het best wel belangrijk is om mensen te vertellen wat er gebeurd is.
Vertaling:
Citaat
Het spijt me dat ik slecht nieuws moet brengen.

Vandaag is er iemand bij ons binnengedrongen. Het was maar kort en het zou geen invloed mogen hebben op veel mensen, maar als het invloed heeft op jou, is het heel belangrijk dat je de informatie hieronder leest.

Wat is er gebeurd
Hackers hebben een gemodificeerde Linux Mint ISO gemaakt, met een backdoor erin, en het is ze gelukt onze website ernaar te laten verwijzen.

Heeft dit invloed op jou?
Zover als wij weten is de enige gecompromitteerde versie Linux Mint 17.3 Cinnamon edition.

Als je een andere versie of een andere editie hebt gedownload, heeft dit geen invloed op jou. Als je de ISO via torrents of via een HTTP link hebt gedownload, heeft dit ook geen invloed op jou.

De situatie deed zich alleen vandaag voor, dus het zal alleen invloed hebben op mensen die deze editie op 20 februari 2016 gedownload hebben.

Hoe check ik of mijn ISO gecompromitteerd is?
Als je de ISO nog hebt, check dan de MD5 sum met het commando  "mk5sum jouwbestand.iso" (waar jouwbestand.iso de naam van de ISO is).

De correcte sums staan hieronder:
6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso
Als je de gebrande DVD of USB stick nog in bezit hebt, start er dan een computer of een virtuele machine mee op zonder internet (zet je router uit als je het niet vertrouwt) en laat hem doorstarten naar de live-sessie.

Eenmaal in de live-sessie moet je kijken of er een bestand "/var/lib/man.cy/" is. Zo ja, dan is die ISO geïnfecteerd.

Wat moet je doen als je geïnfecteerd bent?
Verwijder de ISO. Als je de ISO gebrand hebt op een DVD, gooi de DVD dan direct weg. Als je de ISO op een USB stick gezet heb, formatteer de USB stick dan.

Als je de ISO op een PC hebt geïnstalleerd:
- Koppel de computer los van het internet.
- Als er persoonlijke data op de PC staat, maar hier dan een backup van.
- Herinstalleer het OS of formatteer de partitie.
- Verander het wachtwoord voor gevoelige websites (met name email!),

Is alles al terug bij het normale?
Nee. We hebben de server offline gehaald en we zijn nu het probleem aan het repareren.

Wie heeft dit gedaan?
De gehackte ISO's zijn gehost op IP-adres 5.104.175.212 en de backdoor verbindt met absentvodka.com.
Beiden leiden naar Sofia in Bulgarije, en de namen van drie personen aldaar. We weten hun rol hierin niet, maar als we vragen om een onderzoek, dan is dit waar het zal beginnen.

We weten niet wat de motivatie is voor deze aanval. Als er meer moeite gedaan wordt om ons project aan te vallen en als het doel is om ons te schaden, dan zullen we contact opnemen met de autoriteiten en beveiligingsbedrijven om de mensen hierachter te confronteren.

Als je hierdoor beïnvloed bent, laat het ons alsjeblieft weten!
« Laatst bewerkt op: 2016/02/21, 10:39:17 door TopGear »

Offline Maik

  • Lid
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #2 Gepost op: 2016/02/21, 10:34:15 »
Dank je Topgear. :)

Offline Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #3 Gepost op: 2016/02/21, 10:59:11 »
Zo..... dat is schrikken.  :o

Gelukkig heeft men snel actie ondernomen.

Het schijnt overigens te gaan om een stel Bulgaren die via een lek in Wordpress zijn binnengekomen. Wordpress..... *walg*
« Laatst bewerkt op: 2016/02/21, 11:07:35 door Pjotr »

Offline Theo1971

  • Lid
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #4 Gepost op: 2016/02/21, 11:24:44 »
Schrikken inderdaad, maar aan de andere kant is het in en in triest!
Wanneer je schijnbaar als doel hebt om een product naar zijn grootje te helpen waar veel mensen gratis en voor niets aan bijdragen kun je je afvragen wat je leven waard is.
Teveel computers en teveel distro's (Debian & Ubuntu based)

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #5 Gepost op: 2016/02/21, 11:34:49 »
Wie gebruikt er dan ook WordPress voor zo'n belangrijke site.
`Wie wil de Nederlandstalige Ubuntu documentatie wiki onderhouden? https://wiki.ubuntu-nl.org

Offline Jenske

  • Lid
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #6 Gepost op: 2016/02/21, 11:47:52 »
Wie gebruikt er dan ook WordPress voor zo'n belangrijke site.

Voor mij als leek (maar lang gebruiker van Ubuntu) is dit soort mededelingen erg lastig. "Zomaar" beweren dat wie Wordpress gebruikt als het ware schuldig aan het binnenhalen van problemen zonder verdere duiding vind ik géén reclame voor het Ubuntu-forum. Ik verwacht dat er duidelijke, harde argumenten worden gebruikt om deze of gene site af te raden.

Graag dus toch een ietsiepietsie opbouwender opmerkingen.
.. thuis volledig Ubuntu sinds 2006
.. xubuntu 14.04
.. HP desktop 1,5 Tbyte harde schijf 7200 rpm, 4 Mhz processor, 6 Gbyte RAM

Offline Anco

  • Lid
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #7 Gepost op: 2016/02/21, 12:12:41 »
Wie gebruikt er dan ook WordPress voor zo'n belangrijke site.

Voor mij als leek (maar lang gebruiker van Ubuntu) is dit soort mededelingen erg lastig. "Zomaar" beweren dat wie Wordpress gebruikt als het ware schuldig aan het binnenhalen van problemen zonder verdere duiding vind ik géén reclame voor het Ubuntu-forum. Ik verwacht dat er duidelijke, harde argumenten worden gebruikt om deze of gene site af te raden.

Graag dus toch een ietsiepietsie opbouwender opmerkingen.

Wordpress staat er helaas om bekend dat het nogal eens doelwit is van aanvallen. En ook dat deze slagen. Dit zal deels te maken hebben met dat het erg veel gebruikt wordt.
Echter raadt testcees (volgens mij) deze site niet af, maar meer de keuze om de site op wordpress te draaien.
Daarnaast moet ik erbij zeggen dat er veel extra maatregelen genomen kunnen worden om wordpress veiliger te maken. En in mijn ogen met succes, aangezien er ook veel grote sites op draaien die niet getroffen worden door zulk soort acties. Maar het is wel een feit dat wie wordpress gebruikt zeer goed moet denken om de veiligheid. En in dit geval was het veiliger geweest om blog en site apart te houden (op andere server draaien). Dan was dit niet gebeurd.

Gelukkig waren ze er snel bij en is dit hopelijk goeie les en goede reden om hun beveiliging goed na te kijken.
Linux user #485563

Offline dellkubuntu

  • Lid
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #8 Gepost op: 2016/02/21, 15:53:43 »
Jammer dat sommige lui zo creatief zijn in het bedenken van zulke slinkse mogelijkheden. Hebben zeker niks beters te doen?  :|

Offline Maik

  • Lid
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #9 Gepost op: 2016/02/21, 16:00:49 »
Het laatste nieuws laat weten dat hun forum ook eraan heeft moeten geloven. Alle gebruikers daar worden geadviseerd hun paswoord te wijzigen:

http://blog.linuxmint.com/?p=3001

Offline dellkubuntu

  • Lid
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #10 Gepost op: 2016/02/21, 16:09:39 »
Dit geld alleen voor het linuxmint.com forum neem ik aan?

Offline Maik

  • Lid
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #11 Gepost op: 2016/02/21, 16:10:23 »
Ja, alleen het linuxmint.com forum.

Offline partyrabbit

  • Lid
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #12 Gepost op: 2016/02/21, 16:43:41 »
Belachelijk zo'n actie. Wat willen ze er mee bereiken?

Wie gebruikt er dan ook WordPress voor zo'n belangrijke site.

Firejail? https://firejail.wordpress.com/  :-X :-X :-X
== Vertrouw niet blindelings op wat ik adviseer omtrent Linux. Ik ben er nog steeds niet volledig ervaren in. ==
= 2x Ubuntu 16.04 LTS Stand alone op Desktop HP Compaq 6000 ***** (main & studio) =
= Lubuntu 16.04 LTS Asus M2N-MX SE = Bodhi 4.0.0 Dell Inspiron 5100 **** =
  I ♥ Linux

Offline Frederik

  • Lid
    • Vriescheloo
  • Steunpunt: Ja
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #13 Gepost op: 2016/02/21, 18:04:36 »
Wie gebruikt er dan ook WordPress voor zo'n belangrijke site.

Mits de beveiliging en veiligheidsadviezen nageleefd/opgevolgd worden is er niks mis met WordPress.
Xubuntu 16.04.1 LTS
Wees wie je bent. Hou van wie je wilt.

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #14 Gepost op: 2016/02/21, 23:11:27 »
Dit geld alleen voor het linuxmint.com forum neem ik aan?
Als je het linuxmint.com forumwachtwoord ook op andere sites of voor e-mail gebruikt (slechte gewoonte maar het zou kunnen) kan je daarvoor het wachtwoord beter ook wijzigen.
De forum database (incl. wachtwoordhash) is blijkbaar al te koop in het zwarte circuit.
« Laatst bewerkt op: 2016/02/21, 23:14:44 door testcees »
`Wie wil de Nederlandstalige Ubuntu documentatie wiki onderhouden? https://wiki.ubuntu-nl.org

Offline Maik

  • Lid
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #15 Gepost op: 2016/02/22, 11:18:14 »
Hier een artikel van Zdnet waar ze schijnbaar contact hebben gehad met de hacker, is wel in het Engels:

http://www.zdnet.com/article/hacker-hundreds-were-tricked-into-installing-linux-mint-backdoor/

Offline koos4401

  • Lid
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #16 Gepost op: 2016/02/22, 21:09:02 »
Volgens mij ligt de server daar nog steeds plat.
20160222:21:08.
Iemand met betere ervaring?
Op 27-okt-2009 om 08.20 GMT geregistreerd als gebruiker nr.: 498523

Offline Maik

  • Lid
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #17 Gepost op: 2016/02/22, 21:13:43 »
Bij Linux Mint.com ligt de server inderdaad nog plat, site en forum zijn nog niet beschikbaar. Clem heeft aangegeven dat ze er geen tijd of datum op kunnen plakken wanneer alles weer online is. Het alom bekende: No ETA.

Offline Theo1971

  • Lid
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #18 Gepost op: 2016/02/22, 21:56:17 »
Volgens mij ligt de server daar nog steeds plat.
20160222:21:08.
Iemand met betere ervaring?

Nee en voor zover ik het begrepen heb is de site 2 keer aangevallen, na de eerste berichtgeving volgde een 2e aanval waarbij weer verwezen werd naar de besmette .iso ('s). Om verder schade tegen te gaan is de boel dus ook platgelegd.  Better safe than sorry..
Overigens petje af voor Clem dat hij transparant over de gang van zaken is.
Teveel computers en teveel distro's (Debian & Ubuntu based)

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #19 Gepost op: 2016/02/27, 16:45:05 »
Echter raadt testcees (volgens mij) deze site niet af, maar meer de keuze om de site op wordpress te draaien.
Klopt maar nu lijkt de oorzaak een eigen thema aanpassing en slordig configureren van bestandsrechten te zijn.

Typisch iets voor Mint vragen sommigen zich af, Mint zelf heeft ook de nodige problemen zoals te lezen in een recent (Engelstalig) artikel op LWN.net
Linux Mint is generally very bad when it comes to security and quality.
- Mint geeft geen veiligheidsadviezen, gebruikers weten niet of ze geraakt kunnen worden door bepaalde kwetsbaarheden (CVE’s).

 - Mint vermengt eigen software met binaire pakketten van Debian en Ubuntu zonder deze opnieuw te compileren (ontwikkelaars noemen Mint daarom een “FrankenDebian” monster) waardoor het systeem onvoorspelbaar instabiel kan worden door updates. Mint lost dit op door bepaalde updates (ook veiligheidsupdates) maar niet door te voeren met alle risico’s van dien.

 - Mint maakt hergebruik van pakketnamen van anderen waardoor de originele pakketten niet meer geïnstalleerd kunnen worden.

 - Bovendien heeft Mint maling aan copyright en licenties waardoor het eigenlijk geen vrije softwaredistributie is.

De vraag is of de Mint distributie aan te raden is zolang deze problemen niet fundamenteel worden aangepakt.

Een samenvatting van het LWN artikel en de reacties op InfoWorld.com (Engelstalig): Is Linux Mint a crude hack of existing Debian-based distributions?

Ook over dit onderwerp en de relatie met de Mint distributie op TechRepublic.com (Engelstalig): Why the Linux Mint hack is an indicator of a larger problem
`Wie wil de Nederlandstalige Ubuntu documentatie wiki onderhouden? https://wiki.ubuntu-nl.org

Offline Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #20 Gepost op: 2016/02/27, 17:15:14 »
--- lange lap tekst ---
Het "artikel" op LWN.net waar jij naar verwijst als basis voor je afkraken van Linux Mint, is kwalijke onzin.

Puntsgewijs:

1. Linux Mint streeft naar 100 % compatibiliteit met de Ubuntu-pakketbronnen. Vandaar dat de Ubuntubronnen onderdeel uitmaken van de bronnenlijst in Mint; Mint heeft slechts vrij weinig eigen programmatuur in haar eigen bronnen.

Er hoeft dus ook niets te worden gehercompileerd en CVE's voor de spullen uit de Ubuntubronnen kan men desgewenst bij Ubuntu bekijken: http://www.ubuntu.com/usn/

Bronnenlijst van Linux Mint 17.3 (de NLUUG is een Nederlandse spiegelserver die ik heb ingesteld voor de Mintpakketten):
deb http://ftp.nluug.nl/os/Linux/distr/linuxmint/packages rosa main upstream import

deb http://extra.linuxmint.com rosa main

deb http://archive.ubuntu.com/ubuntu trusty main restricted universe multiverse
deb http://archive.ubuntu.com/ubuntu trusty-updates main restricted universe multiverse

deb http://security.ubuntu.com/ubuntu/ trusty-security main restricted universe multiverse
deb http://archive.canonical.com/ubuntu/ trusty partner

2. De politiek van Mint betreffende updates van bovenstrooms (voornamelijk Ubuntu), is een afgewogen keuze die niets met Frankenstein-handelwijzen te doen heeft. Een uitleg vind je hier: https://sites.google.com/site/computertip/10

3. Er is blijkbaar één voorbeeld van een "dubbele naam", namelijk bij mdm, waardoor een of ander onbelangrijk Ubuntupakketje blijkbaar niet installeerbaar is in Mint.

Xedit is al lang omgedoopt naar Xed, juist om een naamconflict te vermijden, dus dat speelt sowieso niet meer.

Eén voorbeeld is veel te weinig grond om dit dan maar te gaan lopen veralgemeniseren tot: "Mint kaapt pakketnamen".

4. Oracle Java zit al vele jaren niet meer standaard in Mint; dat is jaren geleden al vervangen door OpenJDK.

5. Speciaal voor de Verenigde Staten (en voor andere landen waar bepaalde codecs en programmatuur niet zomaar mogen worden verspreid), maakt Mint een editie zonder niet-vrije en eigendommelijke codecs en zonder pakketten als Adobe Flash Player.

Kortom: het LWN.net-schrijfsel stikt dus van de onjuistheden en de halve waarheden.

Overigens is het niet de gewoonte op dit forum, om andere distributies op onjuiste gronden te gaan lopen afkraken. Kritiek is één ding. Laster, zwartmaken en FUD-verspreiding zijn andere zaken.

[Mod edit: tekst in eerste citaat even wat netter gemaakt. Dat je het niet eens bent met testcees, prima. Maar zo verwoord je dat niet.]
« Laatst bewerkt op: 2016/02/28, 14:28:47 door TopGear »

Offline markba

  • Lid
    • http://markbaaijens.nl/
  • Steunpunt: Ja
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #21 Gepost op: 2016/02/27, 18:33:49 »
Echter raadt testcees (volgens mij) deze site niet af, maar meer de keuze om de site op wordpress te draaien.
Klopt maar nu lijkt de oorzaak een eigen thema aanpassing en slordig configureren van bestandsrechten te zijn.
Tsjonge, wat een knulligheid. Wel een custom thema kunnen maken maar dat niet op de juiste (veilige) manier inzetten is best amateuristisch:
Citaat
Edit by Clem: No plugins, latest WP, but a custom theme and lax file permissions for a few hours. The security experts will probably find the exact cause. At the moment there’s no indication it’s related to WP core (we’d probably see a lot more sites being hacked right now, this seems to be targeted specifically at us).
Het siert ze dat ze het zelf toegeven. Hier treft Wordpress dus geen blaam, ondanks de eerdere berichten.

Offline MKe

  • Lid
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #22 Gepost op: 2016/02/28, 09:34:03 »
Tja, het is jammer. Het doet de reputatie van Mint geen goed. Las nu ook allemaal kritiek van de Debian groep, terecht of onterecht, die niet mis was. Het is erg jammer, ik ben geen fan van Mint maar ze maken linux erg toegankelijk voor nieuwe gebruikers een dat is een goed ding. Zonde dat dit gebeurt.

Offline Henkp

  • Lid
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #23 Gepost op: 2016/02/28, 10:00:04 »
Tja, omdat Linux Mint te snel groeit wat de behoefte van de desktop gebruikers betreft.
Zullen er altijd bepaalde mensen trachten het weg te maaien.

Maar laten we niet vergeten er is geen een besturingssysteem 100% goed en veilig.
Dus verbeter de wereld en begin bij je zelf. Is mijn motto.

Ik zelf vind Ubuntu ook goed. Maar vind persoonlijk Linux mint fijner werken. En zo heeft een ieder zij voorkeur.
En het is fijn dat je als gebruiker die ook vrij kunt maken.

Offline Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari
« Reactie #24 Gepost op: 2016/02/28, 10:45:21 »
Overigens heeft er een unieke samenwerking plaatsgevonden met Avast: in de jongste update voor Updatebeheer zelf, zit een stukje programmatuur van Avast dat die backdoor (Tsunami) opspoort en verwijdert.

Voor de paar honderd mensen die op de bewuste dag van de kraak een besmet iso hebben binnengehaald van die Bulgaarse server, is dat natuurlijk een heel goede zaak. En voor alle anderen verhoogt dit het vertrouwen in de zorgvuldigheid van Linux Mint jegens haar gebruikers.  :)