日本時間 2016年2月20日夜〜21日昼 Linux Mint がハッキングされています

Linux MintのWindowsインストーラー、mint4winについての質問

日本時間 2016年2月20日夜〜21日昼 Linux Mint がハッキングされています

投稿記事by fu-sen » 2016年2月21日(日) 11:12

日本時間 2016年2月20日(土)夜(21日に入ってからの可能性もあります)から 21日(日)12時過ぎ まで
Linux Mint 公式 Web サイト(www.linuxmint.com)のダウンロードページで
ダウンロードリンク先が通常と異なる場所(特定の IP アドレス)を経由してダウンロードするように改竄され、
これにより特定情報をサーバに送出するコードが入った Linux Mint をダウンロードしてしまう状態になりました。

公式文では 20 日 のみになっていますが、日本時間では日付が変わった 21 日 までとなります。
キャッシュ情報より日本時間 2月20日22時 までは正常だった事が確認できています。


今回の対象となる Linux Mint

今回の対象になるのは次の場合のみです。

 日本時間 2016年2月20日(土)夜〜21日(日)昼過ぎ(サーバ閉鎖時)まで
 Linux Mint 公式サイト(www.linuxmint.com)の Download 内のページ(下画像の画面)から
 どこかのサーバをクリックして直接 ISO ファイルをダウンロードした場合

 特に21日ダウンロードを行った場合はこれに該当する可能性が高いです。
 念のため20日にダウンロードした人は(夜でなかった場合でも)ここで記載している内容をご確認下さい。

screenshot 2016-02-23 18.24.39.jpg
参考 - Linux Mint 公式サイト www.linuxmint.com の Download ページ
screenshot 2016-02-23 18.24.39.jpg (38.83 KiB) 表示数: 643286 回

公式ブログの記事(それが各所拡散されています)では 17.3 Cinnamon(no codec を含む)が該当となっていますが、
MATE など、他の Edition でも md5 が異なる ISO になっていたというコミュニティの報告があり、
17.3 Cinnamon 以外の ISO でも発生していた可能性があります。
ページの改竄はキャッシュより 13 と 17〜17.3 全 Edition が対象と思われます。LMDE2 も可能性があります。

この被害によって、2月21日昼より Linux Mint 公式サイト(www.linuxmint.com)と
同じサーバ内で運用されていた Linux Mint 公式フォーラム(forums.linuxmint.com)はサーバ停止が行われました。
そのうち公式サイトは日本時間 24 日、公式フォーラムは日本時間 25 日までに復旧しています。
それ以外の公式サーバは物理的に別となっていて、今回の影響なく稼働し続けています。

この情報を元々公開している Linux 公式ブログ(blog.linuxmint.com)は物理的に別サーバで対象に含まれません
ミラーサーバの ISO は更新された形跡がなく、Linux Mint Japan や直接ミラーサーバを参照した場合も含まれません
リボジトリへの被害は確認されておらず、それ以前から Linux Mint を利用している場合も影響がありません
以前から Linux Mint を利用していて、2月20日・21日にダウンロードを行っていない場合、
今回の被害は確認されていませんので、安心して Linux Mint をご利用下さい。

公式サイト・フォーラムが閉鎖された 2月21日昼 以降ダウンロードしている場合は影響ありません
現在 Linux Mint 公式ブログ、Linux Mint Japan、直接ダウンロードサーバからダウンロードし、ご利用いただけます。


Linux Mint の改竄確認方法

ネット接続を外した状態で Linux Mint を起動して下さい。(他の OS から参照でも良いでしょう)
ファイルマネージャーなどで /var/lib 内に man.cy があるかご確認下さい。
/var/lib/man.cy がある場合、それは改竄された Linux Mint です。

画像付の詳細な確認方法の解説
viewtopic.php?t=1625&p=3764#p3773

該当する Linux Mint だった場合、ISO は破棄し、改めてダウンロードしなおして下さい。

正常な Linux Mint がダウンロードできるミラーサイトへのリンク
viewtopic.php?t=1625&p=3764#p3765

また、インストールしている場合は、この Linux Mint は削除し、改めてインストールしなおして下さい。


この情報の原文・公式アナウンス
Beware of hacked ISOs if you downloaded Linux Mint on February 20th! | Linux Mint Blog (公式情報)
http://blog.linuxmint.com/?p=2994

公式アナウンスは 20日 となっていますが、日本では日付が変わって 21日 までとなります。
 投稿日付 21 日 1:44am は UTC 時間で、日本時間は UTC+9 → 10:44am です。
 コメントの時間も同じく日本時間では +9 時間です。
 18. に自分のコメントがあります。この投稿 3:00am UTC が日本時間 12:00pm です。
このアナウンス後もハッキング行為が継続され、記載内容から状況が変わっています。
最後に編集したユーザー fu-sen [ 2016年2月25日(木) 09:12 ], 累計 71 回
fu-sen
関脇
 
記事: 364
登録日時: 2014年3月06日(木) 17:40

Re: 2016年2月20日(〜21日深夜) Linux Mint Cinnamon がハッキングされています

投稿記事by fu-sen » 2016年2月21日(日) 11:56

linuxmint.com 公式サイト内のリンクがまだ改竄されたアドレスになっている事を確認しています。
これは Cinnamon 以外も該当しています。今ダウンロードしても影響を受ける可能性があります。

Linux Mint Japan 内のアドレスは正常です。念のため、こちらにダウンロードサイトのリンクを行っておきます。

JAIST (日本 no-codec のみ)
http://ftp.jaist.ac.jp/pub/Linux/linuxm ... able/17.3/

NCHC (台湾)
http://free.nchc.org.tw/linuxmint/isos/

こちらの ISO ファイルは日付が更新されず 2015 年以前のままですので、
これらを含むミラーサーバの ISO は正常と思われます。
最後に編集したユーザー fu-sen [ 2016年2月21日(日) 14:25 ], 累計 2 回
fu-sen
関脇
 
記事: 364
登録日時: 2014年3月06日(木) 17:40

Re: 2016年2月20日より Linux Mint がハッキングされています

投稿記事by fu-sen » 2016年2月21日(日) 12:15

Linux Mint 公式サイト(www.linuxmint.com)の参照が止められました。
今は公式サイトが参照できなくなっています。

同じサーバで稼働している 公式フォーラム も参照できなくなっています。
fu-sen
関脇
 
記事: 364
登録日時: 2014年3月06日(木) 17:40

Re: 日本時間 2016年2月20日〜21日昼 Linux Mint がハッキングされています

投稿記事by yasushi04 » 2016年2月21日(日) 15:53

この頃多いですね。ハッキング、&スパム スパムで様子見して、メンテナンスが悪いと見ればハッキング攻撃開始みたな、感じでしょうか。
yasushi04
幕内
 
記事: 185
登録日時: 2012年9月24日(月) 16:17
お住まい: 青森県

Re: 日本時間 2016年2月20日〜21日昼 Linux Mint がハッキングされています

投稿記事by fu-sen » 2016年2月22日(月) 00:45

今回のハッキングに関連する情報になりますが、あえて別のトピックにしてあります。

本家フォーラム forums.linuxmint.com のアカウントを持っていた人へ
viewtopic.php?t=1626
fu-sen
関脇
 
記事: 364
登録日時: 2014年3月06日(木) 17:40

Re: 日本時間 2016年2月20日〜21日昼 Linux Mint がハッキングされています

投稿記事by fu-sen » 2016年2月22日(月) 21:18

ZDnet Japan が ZDnet 本家から翻訳された記事を掲載しています。

「Linux Mint」のウェブサイトが改ざん被害に--ISOファイルにバックドア
http://japan.zdnet.com/article/35078241/

英語が不得意な人も、これである程度どのような経緯かが分かるかと思います。
fu-sen
関脇
 
記事: 364
登録日時: 2014年3月06日(木) 17:40

Re: 日本時間 2016年2月20日〜21日昼 Linux Mint がハッキングされています

投稿記事by fu-sen » 2016年2月22日(月) 22:42

インストール済の Linux Mint を確認する方法
Cinnamon が明らかになっているので、ここでは Cinnamon の場合で記載しています。他の Edition でもほぼ同じ手順です。
これはダウンロードした ISO をライブ起動する場合でも有効です。

可能な場合は LAN ゲーブルを外すなど、予めネット接続を無効にして下さい。

Linux Mint を起動し、ログインします。
デスクトップの コンピュータ またはパネル(タスクバー左)やメニューにある ファイル を起動します。
左サイドバーの ファイルシステム を選択します。
多数のフォルダが表示されるので、var → lib と選択していきます。
下にスクロールします。ここに man.cy というファイルがあるかどうかを確認して下さい。
→ man.cy がある場合
  この Linux Mint は改竄されていますので、削除しインストールしなおす必要があります。
  改めてダウンロードしなおした Linux Mint を起動し、インストーラーを起動して下さい。途中の選択肢で可能です。
→ man.cy が見つからず、フォルダしかない場合
  正常ですので、安心してこの Linux Mint をご利用下さい。
添付ファイル
VirtualBox_Linux Mint_22_02_2016_22_33_42.jpg
VirtualBox_Linux Mint_22_02_2016_22_33_42.jpg (25.17 KiB) 表示数: 643441 回
最後に編集したユーザー fu-sen [ 2016年2月23日(火) 19:32 ], 累計 3 回
fu-sen
関脇
 
記事: 364
登録日時: 2014年3月06日(木) 17:40

Re: 日本時間 2016年2月20日〜21日昼 Linux Mint がハッキングされています

投稿記事by fu-sen » 2016年2月22日(月) 23:24

ダウンロードした ISO を確認する方法

ダウンロードした ISO ファイルが公式の正常な ISO かを確認する方法として
MD5 または SHA256 が公開されている情報と一致しているかを確認する方法があります。
今後のために別トピックとしておきました。Linux・OS X・Windows それぞれの方法を記載しています。

MD5・SHA256 の確認方法
viewtopic.php?t=1627

今回ブログ記事に 17.3 Cinnamon の MD5 ハッシュ値が記載されました。

http://blog.linuxmint.com/?p=2994

これ以外にダウンロードサイトにも各ファイルの MD5・SHA256 のハッシュ値があります。(JAIST を除く)
ここではあえてメインサーバへリンクしておきます。

http://ftp.heanet.ie/pub/linuxmint.com/ ... md5sum.txt
http://ftp.heanet.ie/pub/linuxmint.com/ ... 256sum.txt

公式サイトのダウンロードページにも MD5 値の記載はありましたが、
今回のハッキングではハッシュ値を変更する事も可能だったため、
ダウンロードサーバにも存在している事を知っててもらえると今後のためによろしいかと思います。
添付ファイル
mintmd5.jpg
mintmd5.jpg (44.82 KiB) 表示数: 643434 回
fu-sen
関脇
 
記事: 364
登録日時: 2014年3月06日(木) 17:40

Re: 日本時間 2016年2月20日〜21日昼 Linux Mint がハッキングされています

投稿記事by fu-sen » 2016年2月23日(火) 19:46

その後各所にある改竄ページのキャッシュを調査したところ、
日本時間 20 日 22 時までは正常であった事が確認できました。
そのため、改竄された Linux Mint をダウンロードした可能性がある時間帯を
日本時間で 2月20日夜〜2月21日昼すぎ と改めます。

20 日でも夕方以前にダウンロードした人は対象外と思われますが、
念のため 20 日ダウンロードした人は夜でなかった場合でも、
ここで記載している内容をご確認下さい。

一方でページの改竄はキャッシュを確認した結果、17.3 以外に 13 と 17〜17.2 でも改竄を確認しました。
13・17〜17.3 で可能性があります。LMDE2 はキャッシュが確認できませんでした。念のためご確認下さい。
fu-sen
関脇
 
記事: 364
登録日時: 2014年3月06日(木) 17:40

Re: 日本時間 2016年2月20日夜〜21日昼 Linux Mint がハッキングされています

投稿記事by fu-sen » 2016年2月24日(水) 14:45

公式 Web サイトは復旧させたようです。

http://www.linuxmint.com/

一方被害人数が大きくなっている公式フォーラムはまだ閉鎖中です。
fu-sen
関脇
 
記事: 364
登録日時: 2014年3月06日(木) 17:40

次へ

Return to mint4win

オンラインデータ

このフォーラムを閲覧中のユーザー: なし & ゲスト[1人]