GNOME Invadida

25/06/2006 Written by Marcelo Almeida (Vympel)

gnomeO web­site da gnome​.org foi inva­dida hoje, pela mir­ror pre­sente no site, a invasão per­tence ao grupo brasileiro SPYKIDS. Os mes­mos não assumi­ram a auto­ria do ataque e dis­seram que o worm em PHP cri­ado e usado a algum tempo atrás por eles, que usava diver­sas fal­has de scripts PHP pre­vi­a­mente cadastradas, tam­bém não efe­tuou a invasão pois o mesmo worm não está mais sendo usado pelo grupo deles já faz algum tempo.

A com­pan­hia que hospeda o site ata­cado disse que seus usuários podem con­tin­uar efe­t­uando os down­load e com­prando as dis­tribuições linux por eles ofer­e­ci­das, pois o host ata­cado na ver­dade não foi inva­dido, que a mir­ror pre­sente estava em um backup antigo que eles restau­raram, e que o servi­dor deles tinha sido inva­dido em novem­bro por uma falha no awstas o qual está cor­rigida e …

…que nen­huma cópia de dis­tribuição deles pode estar com algum tipo de prob­lema como o ocor­rido com o RUBY que teve seu pacotes alter­ados por algum hacker e que em vários repositórios não ofi­ci­ais estava a imagem para down­load que con­tinha um back­door.

Estes fatos nos pare­cem bas­tantes estran­hos e acon­sel­hamos aos usuários da Dina­marca aguardar um certo tempo até que uma análise real do servi­dor seja efe­t­u­ada e eles rece­bam uma garan­tia que as ima­gens das dis­tros linux real­mente não estão com nen­hum tipo de worm ou rootkit anex­ado.
Enquanto isto a mel­hor maneira de deixar seus sis­temas atu­al­iza­dos e ou insta­lar uma dis­tribuição linux e obter a imagem dire­ta­mente do site ofi­cial quando pos­sível ou de outra mir­ror que não tenha sofrido nen­huma espé­cie de invasão e quando pos­sível ver­i­ficar o MD5 check­sum dos pacotes baix­a­dos antes de insta­lar os mes­mos de um servi­dor.
Para ver­i­ficar a inte­gri­dade de um pacote ou se ele está difer­ente do orig­i­nal que está disponível para o down­load ver­i­fique o site no fab­ri­cante e olhe qual o código MD5 check­sum que está lis­tado em seus pacotes e qual o código que tem no pacote que você baixou usando o comando md5sum nome_​do_​pacote. Se os dois códi­gos forem idên­ti­cos atesta que ele não está mod­i­fi­cado, mas isto não sig­nifica que ele pode ser 100% sem fal­has antes de efe­t­uar uma insta­lação em um ambi­ente crítico ver­i­fique este código se pos­sível em vários sites pois o mesmo pode ser facil­mente manip­u­lado por um invasor.


Share this content: