Atacan sitio web de Linux Mint

Traduzco la información del blog oficial de Linux Mint:

Lamento venir a uds. con malas noticias.

Hoy -20 de febrero de 2016- hemos sido víctimas de una intrusión. Fue breve y no alcanzó a afectar a mucha gente, pero si te afectó a tí es muy importante que leas esta información.

¿Qué pasó?

"Hackers" crearon una ISO modificada de Linux Mint que incluía una puerta trasera, y alteraron nuestro sitio para dar acceso a ella.

¿Esto te afecta?

Hasta donde sabemos, la única versión comprometida fue Linux Mint 17.3 Cinnamon edition.

Si descargaste otra versión u otra edición, el problema no te afecta. Si descargaste vía torrent o mediante un enlace HTTP directo, tampoco te afecta.

Por último, el problema sólo debería afectar a quienes descargaron dicha versión el día 20 de febrero.

¿Cómo saber si tu ISO fue afectada?

Si todavía conservas el archivo ISO, verifica su firma MD5 con el comando "md5sum tuarchivo.iso" (donde tuarchivo.iso es el nombre de la ISO).

La firma válida es la siguiente:

6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso

e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso

30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso

3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso

df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso

Si conservas la copia en DVD o USB, iniciala en un computador o una máquina virtual offline (apaga tu router en caso de dudas) y carga la versión live.

Una vez iniciada la sesión, si existe un archivo /var/lib/man.cy, entonces es la ISO infectada.

¿Qué hacer si fuiste afectado?

Borra la ISO. Si la quemaste en un DVD, bótalo. Si la quemaste en un USB, formatéalo.

Si instalaste la ISO en un computador:

• Desconecta el computador de internet.
• Respalda tu información personal, si la tienes.
• Reinstala el sistema operativo o formatea la partición.
• Cambia tus contraseñas para sitios web importantes (tu e-mail, particularmente).

¿Ha vuelto todo a la normalidad?

No todavía. Hemos bajado el servidor mientras arreglamos el problema.

¿Quién hizo esto?

Las ISOs modificadas fueron alojadas en 5.104.175.212 y la puerta trasera conecta a absentbodka.com.

Ambas conducen a Sofía, Bulgaria, y al nombre de tres personas allí. No sabemos cuáles fueron sus roles en esto, pero si decidimos investigar, ahí es donde comenzaremos.

Lo que no conocemos es el motivo detrás de este ataque. Si los ataques a nuestro proyecto persisten, y si el objetivo es dañarnos, tomaremos contacto con las autoridades y entidades de seguridad para enfrentar a la gente que está detrás de todo esto.

Si fuiste afectado, por favor informanos

Fuente: .