logo linux mint

Las imágenes de Linux Mint descargadas ayer pueden contener malware

Linux,

Ayer, 20 de febrero, los servidores de Linux Mint sufieron un ataque con el que se introdujo una puerta trasera a una de las imágenes iso de la distribución.

Si descargaste ayer una imagen de Linux Mint y la has instalado, deberías borrar la instalación, descargar una nueva imagen y reinstalar el sistema ya que la seguridad de tu máquina se podría ver comprometida por una puerta trasera. En el blog de Linux Mint podemos leer esto:

Siento venir con malas noticias.

Hoy nos hemos visto expuestos a una intrusión. Fue corta y no debería haber afectado a demasiadas personas, pero si te ha afectado, es muy importante que leas la información que hay abajo.

¿Qué ocurrió?

Unos harckers hicieron una imagen iso de Linux Mint modificada con una puerta trasera y consiguieron hackear nuestro sitio web para que apuntara a ella.

¿Te afecta?

Con lo que sabemos hasta ahora, la única edición que se ha visto comprometida es Linux Mint 17.3 Cinnamon.

Si descargaste otra versión o edición, no se afecta. Si la descargaste a través de torrents o vía un enlace directo HTTPS, no te afecta.

De esa forma, si descargaste Linux Mint 17.3 Cinnamon ayer y quieres comprobar si la imagen está infectada, puedes hacer una comprobación de su firma MD5 ejecutando en consola «md5sum imagen.iso». La firmas válidas que se han publicado son las siguientes:

6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso

Si la imagen la tienes metida en un DVD o una memoria USB, puedes arrancarla en un ordenador o máquina virtual sin conexión a Internet y cuando se haya iniciado la sesión Live, debes comprobar si hay un archivo en /var/lib/man.cy. En caso afirmativo, se trata de una copia infectada. Es muy importante que esta operación la realices si acceso a Internet o la puerta trasera podría hacer de las suyas.

Sobre la autoría del ataque, según comentan en el blog de Linux Mint, la imagen estaba alojada en la IP 5.104.175.212 y la puerta trasera se conectaba con el dominio absentvodka.com. Ambos se encuentran en Bulgaria y aparecen el nombre de tres personas en la identidad del dominio.

Para conocer más detalles, puedes visitar esta entrada del blog de Linux Mint.