web analytics

Linux Mint hack – Tsunami backdoor

Print Friendly, PDF & Email

De hacker die zaterdag 20 februari via de website van Linuxmint.com een besmette ISO uploadde, maakte gebruik van een stukje malware, Tsunami genaamd.

Wat doet de Tsunami malware?

Deze malware zou een systeem kunnen uitbuiten via misbruik het web admin panel (cPanel, …)  door HTTP toegang te krijgen door snelle packet fetch/wget requests. Root toegang wordt vervolgens verkregen via crontab UID en vervolgens wordt de gehele veiligheid van de server te niet gedaan via dat lek.
Vervolgens wordt een downloader/IRC Bot backdoor geïnstalleerd die alle sporen in de traces+logs verwijdert om vervolgens de draaiende service te verbergen via een nep bash process.

Meer info over die malware vind je op http://blog.malwaremustdie.org/2013/05/story-of-unix-trojan-tsunami-ircbot-w.html.

Acties ondernomen door Linux Mint

Allereerst werden gebruikers via hun blog geïnformeerd. Dat nieuws werd vervolgens overgenomen door diverse media zodat er een ruime verspreiding ervan werd gegarandeerd. Ik was er zondagmorgen 23 februari om 06:00 al van op de hoogte via een post op Google+.
Dan werd de website offline gehaald wat het onmogelijk maakte om nog ISO’s te downloaden.

Zonet werd een nieuwe versie van Mintupdate (versie 4.9.9.1) via het updatebeheer ter beschikking gesteld die specifiek op zoek gaat naar de TSUNAMI malware en desgevallend de gebruiker verwittigd.

Updatebeheer

Het is dus ten zeerste aangeraden om een update van je systeem te doen, teneinde de aangepaste Mintupdate te installeren om na te gaan of je systeem last heeft van het TSUNAMI-malware.

379 totaal aantal vertoningen, 2 aantal vertoningen vandaag

Beoordeling

Geef een reactie

%d bloggers liken dit: