在Linux 系統(tǒng)中，Linux Mint因為安全、易用、界面友好和提供各種定制，在全球有不少粉絲。據(jù)說，這是 Linux 歷史上第三大最受歡迎的操作系統(tǒng)。

但就在上個周末，這個系統(tǒng)被攻擊的消息幾乎傳遍了各個開源社區(qū)。一個叫Peace的黑客組織，讓 Linux Mint Team 在新年“遇鬼”，好一陣忙活。

遭遇李鬼，被灌下“毒酒 ”

Linux Mint官方 Blog的說法是，黑客入侵了Linux Mint 的官網(wǎng)，修改了下載鏈接，把文件的下載地址指向了一個植入后門的修改版Linux Mint ISO文件。具體受影響的版本為Linux Mint 17.3 Cinnamon版。

這就好像是，你明明想要上梁山去找李逵喝酒，結(jié)果碰上了“李鬼”，于是被“李鬼”灌了壺“毒酒”，自己的“細軟”都被“李鬼”拿了去。

后來，這起事件的始作俑者說，他們這么做，最主要的目的就是建立個僵尸網(wǎng)絡(luò)。最新的消息是，黑客拿到的大量信息已經(jīng)在地下黑色產(chǎn)業(yè)鏈中進行售賣了。

85美元就能買到全部賬戶信息

為什么說這是個“猴賽雷”的攻擊？

首先，黑客不僅通過漏洞成功入侵了 Linux Mint 官網(wǎng)，而且還成功地入侵了至少兩次。并且，Linux Mint官方在最近一次黑客攻擊的一天之后，才發(fā)現(xiàn)了被黑的事情，進行緊急處理。

Linux Mint創(chuàng)始人Clement Lefebvre透露，只有星期六以后下載的用戶才受影響，數(shù)量只有幾百個。不過，安全專欄作者Zack Whittaker給出的卻是另一個版本。

通過加密的聊天工具，Zack Whittaker跟攻擊的始作俑者——一個名叫“Peace”的歐洲獨立黑客組織取得了聯(lián)系，對方說有上千個用戶下載了感染文件，其中有幾百個終端設(shè)備已經(jīng)在黑客的控制之下。

事實上，早在1月28日和2月18日，黑客就曾經(jīng)兩次成功入侵Linux Mint 官網(wǎng)，竊取了大量網(wǎng)站數(shù)據(jù)，最近一次就發(fā)生在官方確認攻擊的兩天之前。

為了證明自己所言非虛，黑客向Zack Whittaker分享了一部分數(shù)據(jù)。經(jīng)過驗證，這些數(shù)據(jù)的確是網(wǎng)站用戶的個人信息，包括郵箱地址、生日、個人圖片、賬戶密碼hash等。Peace說他們已經(jīng)破解了一部分賬戶的密碼，其余的也正在破解之中。

現(xiàn)在，就在很多用戶還沒來得及反應(yīng)時，Peace已經(jīng)把這些用戶信息拿到了地下黑產(chǎn)市場出售，你只要花上0.197個比特幣或者是85美元，就可以購買全部用戶信息。

HaveIBeenPwned是個提供在線安全檢測的網(wǎng)站，上周日，它的檢測結(jié)果表明，受影響的賬戶數(shù)大約有7.1萬個，這個數(shù)值已經(jīng)接近了整個數(shù)據(jù)庫的一半。

“李鬼換李逵”過程再現(xiàn)

今年1月，Peace組織成員在網(wǎng)上閑逛的時候發(fā)現(xiàn)了 Linux Mint官網(wǎng)上存在一個未授權(quán)訪問的漏洞，并且獲得了網(wǎng)站管理員權(quán)限。黑客同時表示他擁有能夠登錄網(wǎng)站管理后臺的授信憑據(jù)，并且與Linux Mint 創(chuàng)始人Lefebvre的權(quán)限相同。但是拒絕透露憑據(jù)是否仍然有效。

上星期六，黑客將其中一個64位Linux 系統(tǒng)鏡像（ISO），替換成植入后門的修改版ISO文件。后來，他們決定干脆把網(wǎng)站上的所有可下載的鏡像都進行替換。

雖然整個過程看起來復(fù)雜， 但實際上并沒有你想象得那么難。因為Linux 系統(tǒng)的代碼是開源的，所以黑客只花了幾個小時，就完成了帶有后門的Linux系統(tǒng)包的開發(fā)。

隨后，Peace把惡意程序上傳到了一個位于保加利亞的文件服務(wù)器上。因為帶寬速度慢，他們抱怨花費了很長時間才上傳完畢。

要以最快的速度進行傳播，讓更多用戶相信他們所下載的就是官方版本，黑客通過他們所擁有的權(quán)限，將下載頁面上官方用于驗證文件完整性的Hash值，替換成了后門程序的 Hash 值。

這場黑客攻擊的目的并不是哪個特定的目標，而是為了建立一個僵尸網(wǎng)絡(luò)。黑客使用了一個名叫“海嘯（Tsunami）”的惡意程序。“海嘯（Tsunami）”通常是用于進行Web 攻擊。它同時還提供了遠程命令執(zhí)行、下載文件等其他的擴展功能，這就給黑客留下了一個遠程更新和執(zhí)行其他惡意程序的渠道。

幾乎整個周日，Linux Mint 官網(wǎng)都不知情，據(jù)估計有幾千個下載量。Peace 透露說，截止到22日上午，他的僵尸網(wǎng)絡(luò)還在運行中，只不過隨著事件被披露，被感染的機器數(shù)已經(jīng)明顯下降。

安全專家：最好格式化后再重裝

Linux Mint雖然在中國的用戶量并不是很大，但是從全球范圍內(nèi)看，粉絲仍然不少。最后一次的非官方統(tǒng)計數(shù)據(jù)顯示，Linux Mint 大約在全球有600萬用戶。

這次攻擊事件發(fā)生時，百度安全旗下的百度云安全第一時間進行了追蹤跟進。上周末，百度云安全聯(lián)合百度安全實驗室（X-lab）的安全專家，對事件進行了分析，并且向百度云加速和百度安全寶的客戶發(fā)出安全預(yù)警。

百度安全專家提示，由于時差原因，為了安全起見，建議（北京時間）2月19-21日期間下載Linux Mint 17.3 Cinnamon版的用戶都要進行安全檢查，并且按照官方博客的聲明對ISO簽名進行校驗。如果安裝了有后門的系統(tǒng)，用戶應(yīng)該立即斷網(wǎng)，備份數(shù)據(jù)，修改受影響網(wǎng)站的密碼，并且最好格式化系統(tǒng)之后再重新安裝。