staging.inyokaproject.org

http://blog.linuxmint.com/?p=2994

Ein ziemlicher GAU.

GAU eher nicht, da wurde eine Sicherheitslücke in Wordpress oder in einem der Plugins davon ausgenutzt.

Kommentar 6:

Yes, the breach was made via wordpress. From there they got a www-data shell.

Mit blazeblogger wäre das nicht passiert. 😀

swkh schrieb:

Ein ziemlicher GAU.

Ja.
Hilft IMHO nicht wirklich das Image von Linux zu verbessern. (siehe Linux vs. Windows Thread: https://forum.ubuntuusers.de/topic/linux-und-windows/ )

k1l schrieb:

Hilft IMHO nicht wirklich das Image von Linux zu verbessern. (siehe Linux vs. Windows Thread: https://forum.ubuntuusers.de/topic/linux-und-windows/ )

Es hilft ungemein den Leuten zu zeigen, dass ein angepasstes Ubuntu mit anderem Namen und fancy Farben eben doch kein guter Ersatz für ein System ist, wo eine Fima wie Canonical hintersteckt. Wer nichtmal in der Lage ist, seine Webseite so abzusichern, sollte sich nicht damit rühmen, eine eigene Distribution zu sein.

Ja, die Einschläge kommen auch hier auf der Insel der sich in Sicherheit wiegenden Linux Jünger immer näher.

Into_the_Pit schrieb:

k1l schrieb:

Hilft IMHO nicht wirklich das Image von Linux zu verbessern. (siehe Linux vs. Windows Thread: https://forum.ubuntuusers.de/topic/linux-und-windows/ )

Es hilft ungemein den Leuten zu zeigen, dass ein angepasstes Ubuntu mit anderem Namen und fancy Farben eben doch kein guter Ersatz für ein System ist, wo eine Fima wie Canonical hintersteckt. Wer nichtmal in der Lage ist, seine Webseite so abzusichern, sollte sich nicht damit rühmen, eine eigene Distribution zu sein.

"aber Mint ist doch bei Distrowatch auf der 1!" :/

Das ist ja gut, dass mir endlich nochmal gezeigt wird warum es sich tatsächlich gelohnt hat die md5sum meiner ISOs neulich zu checken.

Kann man nur hoffen, dass ähnliches Cannonical (besonders beim neuen LTS-Release) nicht passiert.

Vielleicht tut man ihnen Unrecht damit, aber ich tue mich auch schwer einer Distribution und ihren Entwicklern zu trauen, wenn sie nicht einmal ihre eigene Website sichern können. Waren sie fahrlässig oder wäre jeder so "machtlos" bei einem scheinbar gezieltem Angriff?

Das ist ja gut, dass mir endlich nochmal gezeigt wird warum es sich tatsächlich gelohnt hat die md5sum meiner ISOs neulich zu checken.

Die MD5-Summe alleine hilft dir nicht viel, wenn die Webseite auf der sie steht ebenfalls kompromittiert ist.

Kann man nur hoffen, dass ähnliches Cannonical (besonders beim neuen LTS-Release) nicht passiert.

Canonical benutzt kein Wordpress bzw. lässt bestimmt die einzelnen Diensten in unterschiedlichen Containern laufen. Ein Hack des Forums hat keine Auswirkung auf den Rest des Servers.

Waren sie fahrlässig oder wäre jeder so "machtlos" bei einem scheinbar gezieltem Angriff?

Soviel ich gelesen habe, wurde die Seite über die Foren-Software gehackt, da deren Datenbank im Darknet zum Verkauf stand:

http://linux.slashdot.org/story/16/02/21/1548228/timeline-of-events-linux-mint-website-hack-that-distributed-malicious-isos

Über das gehackte Forum konnten sie sich dann mit dem Benutzer "www-data" auf dem System einloggen und die Passwörter für die Wordpress-MySQL-Datenbank auslesen. Mit dem direkten Zugriff auf die Datenbank ist es sehr einfach Wordpress-Inhalte zu verändern (So jedenfalls mein Verständnis des Hacks)

Ob das Forum wegen Fahrlässigkeit der Maintainer gehackt wurde, kann ich aber nicht beurteilen.

Kriminelle schrecken vor nichts zurück -

etwas erfolgreiches wird angegriffen. 😢

etwas erfolgreiches wird angegriffen. 😢

Naja, Erfolg zieht Neider an, aber in dem Fall schaut es eher nach stümperhafter Arbeit seitens LinuxMint aus:

1. Das Passwort der Forensoftware zur PHP-Datenbank scheint nur sechs Zeichen lang gewesen zu sein: https://news.ycombinator.com/item?id=11143162

2. Wenn das Forum mit einer veralteten Version von phpBB betrieben wurde, kann es sehr gut möglich sein, dass diese für Injections anfällig ist. Ein Indiz dafür ist der Dump der im obigen Link zusammen mit ein wenig Recherche in den Paketquellen von Ubuntu 14.04:

Unter Ubuntu 14.04 liegt phpBB nur im Universe-Repository und wurde das letzte mal im Januar 2014 aktualisiert:

http://changelogs.ubuntu.com/changelogs/pool/universe/p/phpbb3/phpbb3_3.0.12-1/changelog

Schaut man sich die Debian-Version der gleichen Software an, sieht man, dass diese das letzte Mal im May 2015 aktualisiert und einige Sicherheitslücken dabei geschlossen wurden:

http://metadata.ftp-master.debian.org/changelogs/main/p/phpbb3/phpbb3_3.0.12-5+deb8u1_changelog

phpbb3 (3.0.12-4) unstable; urgency=medium

  * Fix CSRF vulnerability [CVE-2015-1432] and CSS injection [CVE-2015-1431]
    (Closes: #776699)
  * Improve PHP 5.6 compatibility: allow mbstring.http_{in,out}put to be set
    as '' as well as 'pass' on install; do not display warning in ACP if so.

-- David Prévot <taffit@debian.org>  Mon, 02 Feb 2015 20:35:46 -0400

Aus eigener Erfahrung weiß ich, dass jedwede PHP-basierte Software im Universe-Repo von Ubuntu sehr schlecht gepflegt wird und man immer gut beraten ist die Upstream-Pakete der Entwickler zu benutzen. Das macht am Ende etwas mehr Arbeit (Eben weil man keinen Paketmanager einsetzen kann um die Software aktuell zu halten), dafür ist man aber auf der sicheren Seite, dass man am Ende nicht einfach so gehackt wird, weil die Software uralt ist und Sicherheitslücken enthält.

Ich gehe davon aus, dass das LinuxMint-Team oder Clem einfach die phpBB-Version aus den Universe-Quellen installiert hat und blind darauf vertraut hat, dass diese gepflegt wird. Das ging schief und jetzt müssen sie die Trümmer aufräumen.

So richtig durchdacht war die Aktion aber nicht. Die Angreifer haben sich selber verraten, denn bei Mint wurde noch vermutet, dass das Einfallstor Wordpress war. Als es dann wieder direkt Veränderungen gab haben die Mint Leute die ganze Domain abgestellt.

Mit mehr krimineller Energie und mehr Erfahrung bzw einer besseren Strategie wäre da noch deutlich mehr drin gewesen.

glasenisback Danke für die interessanten und verständlichen Erläuterungen.

md5sum sollte man dann wohl von mehreren Quellen abgleichen?

Wenn ich eine Ubuntu-Distribution von einem der Universitäts-Server, die ihre Server dafür ja teilweise zur Verfügung stellen downloade und die md5sum von ubuntuusers.de zur Kontrolle nehme, dann sind das ja schon zwei getrennte Systeme (Foren-Server & Download/FTP-Server).

k1l schrieb:

So richtig durchdacht war die Aktion aber nicht. Die Angreifer haben sich selber verraten, denn bei Mint wurde noch vermutet, dass das Einfallstor Wordpress war.

Hab ich auch gelesen. Danach war die Domain aber offline. Durch den Eintrag in einem Hacker-Forum kam mir persönlich erst der Gedanke, dass Wordpress unschuldig sein könnte.

Als es dann wieder direkt Veränderungen gab haben die Mint Leute die ganze Domain abgestellt.

Was obige Vermutungen bestätigt.

Mit mehr krimineller Energie und mehr Erfahrung bzw einer besseren Strategie wäre da noch deutlich mehr drin gewesen.

Ein Beispiel wäre folgendes:

Man bastelt ein Javascript-Skript, welches bei jedem zweiten oder dritten Aufruf der Download-Seite einen der Links zu den Download-Server umbiegt (Nämlich denjenigen, den man anklickt). Zusätzlich ändert man die MD5-Summe per Skript und voilà, der Einbruch wird nicht mehr so schnell entdeckt. Oder man ändert den Link erst beim Klick ... Der Supergau wäre natürlich gewesen, wenn es die Cracker geschafft hätten einen Sniffer zu installieren, der die Tastatureingaben ausliest und sie dadurch irgendwie Zugang zu einem der Buildserver bekommen hätten.

lubuntu-lulu schrieb:

glasenisback Danke für die interessanten und verständlichen Erläuterungen.

Kein Problem. Ich wollte gestern Abend selbst wissen, wie so etwas genau funktioniert.

md5sum sollte man dann wohl von mehreren Quellen abgleichen?

Wäre eine Möglichkeit.

Wenn ich eine Ubuntu-Distribution von einem der Universitäts-Server, die ihre Server dafür ja teilweise zur Verfügung stellen downloade und die md5sum von ubuntuusers.de zur Kontrolle nehme, dann sind das ja schon zwei getrennte Systeme (Foren-Server & Download/FTP-Server).

Ja. Ist eine Möglichkeit. Wobei der Link zu dem Server dann halt nicht von ubuntuusers.de kommen darf.

http://www.zdnet.com/article/hacker-hundreds-were-tricked-into-installing-linux-mint-backdoor/

Zusammengefasst war es wohl einfacher als gedacht, und ohne echten Plan war das mehr Glück, dass nur das passiert ist. Trotzdem:

In the meanwhile, the hacker's botnet is still up and running, but the number of infected machines "dropped significantly since the news broke obviously,"

lubuntu-lulu schrieb:

md5sum sollte man dann wohl von mehreren Quellen abgleichen?

Keine Ahnung wie das bei Mint ist, aber bei Ubuntu ist die MD5SUM digitial signiert. Hilft natürlich nichts, wenn der Keyserver auch gekapert wurde, ist aber eine zusätzliche Hürde und wenn man den Publickey schon vor längerem Runtergeladen hat, ist es auch sehr wahrscheinlich, dass er ok ist.