Clem Lefebvre, salah satu “creator” Linux Mint dalam tulisan di blog mengumumkan bahwa website Linux Mint diretas. Linux Mint merupakan salah satu distro Linux yang paling populer saat ini. Web Linux Mint diserang oleh hacker tanggal 20 Februari 2016. Hacker mengganti link untuk mengunduh ISO Linux Mint resmi dengan versi ISO palsu yang telah disusupi backdoor. Bila anda sempat mengunduh ISO Linux Mint dari website resmi Linuxmint.com pada tanggal 20 Februari 2016, sebaiknya anda berhati-hati.
Versi Linux Mint yang terinfeksi adalah Linux Mint 17.3 Cinnamon. Untuk mengetahui apakah file ISO anda terinfeksi malware, dapat dengan membandingkan MD5 Hash dari ISO anda dengan MD5 hash resmi. MD5 hash dari ISO resmi Linux Mint adalah sebagai berikut:
6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso 30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso 3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso
Bila Hash anda berbeda dengan MD5 Hash dari ISO resmi bisa jadi file ISO anda terinfeksi backdoor. Untuk memeriksa MD5 hash dari ISO, cukup dengan menjalankan perintah berikut pada terminal:
md5sum NamaFileAnda.iso
Ciri lainnya untuk mengetahui ISO anda terinfeksi, bila anda telah melakukan burning ISO ke DVD atau USB jalankan ISO tersebut pada Virtual Machine. Pada ISO yang terinfeksi akan terdapat file berikut /var/lib/man.cy. Pastikan anda tidak terhubung ke internet dan jaringan ketika anda menjalankan ISO ini.
Bila file ISO anda terinfeksi malware, saran dari Linux Mint adalah hapus ISO tersebut. Bila sudah diburnt ke DVD disarankan untuk menghancurkan DVD tersebut. Bila ISO telah dipasang di USB, disarankan untuk memformat USB tersebut. Bila anda terlanjur telah menginstall ISO tersebut Linux Mint menyarankan langkah-langkah berikut:
- Putuskan sambungan ke jaringan lokal maupun Internet
- Backup data-data pribadi
- Install ulang OS dari ISO resmi,
- Format partisi Harddisk
- Ganti password yang kita gunakan di berbagai website.
Selain ISO Linux Mint, database forum pengguna Linux Mint juga diserang. Bagi yang memiliki akun pada forums.linuxmint.com dianjurkan untuk segera ganti password. Karena hackers berhasil mencuri username pengguna forum dan file hashed passwords pengguna forum.
Menurut Sophos backdoor yang digunakan penyerang adalah Linux/Tsunami-A, atau sering disebut juga Kaiten. Malware ini merupakan bot Linux yang source codenya telah beredar di Internet. Malware ini akan membuat koneksi ke sebuah server IRC, dan menunggu instruksi dari server tersebut. Misalnya bisa digunakan untuk melakukan serangan DoS ke kemputer lain, mengunduh malware dll
Saat ini web Linux Mint sedang diperbaiki, jadi untuk sementara waktu tidak bisa diakses. Berdasarkan analisa yang telah dilakukan, ISO palsu ini dihosting pada alamat IP 5.104.175.212. Sementara backdoor yang dipasang melakukan koneksi ke alamat absentvodka.com. Alamat IP maupun domain diatas memiliki alamat di Sofia Bulgaria.
Semoga Bermanfaat!
Tulisan Clem Lefebvre tentang berita ini:
http://blog.linuxmint.com/?p=2994
Tulisan lainnya
https://nakedsecurity.sophos.com/2016/02/22/worlds-biggest-linux-distro-infected-with-malware/