La mayor distribución de Linux ha estado infectada con malware

Desgraciadamente el titular es correcto. Afortunadamente, sin embargo, las consecuencias no han sido tan graves como podrían haber sido.

Linux Mint está firmemente consolidado en la primera posición de la lista Distrowatch, siendo con casi total seguridad la versión más usada entre los usuarios finales.

Mint está basado en Ubuntu, el que a su vez tiene como base Debian, por lo que no nos sorprende ver estas tres distribuciones a la cabeza de las distribuciones.

Para los recién llegados a Linux, especialmente si vienen de Windows, Mint es mucho menos intimidante que el desconocido escritorio de Ubuntu, o la especialización de Debian.

¿Qué pasó?

Esto es lo que parece que ha ocurrido, según la rápida y clara información del fundador y director del proyecto Mint, Clement Lefebvre, mejor conocido como Clem.

• Hackers entraron y modificaron un script PHP que pertenecía al WordPress que se usa en el proyecto Mint.
• Si usaste la página oficial de Mint para descargar ese sistema operativo, ese código PHP malicioso te redirigiría a la web del impostor.
• La única versión afectada es Linux Mint 17.3 Cinnamon.
• En el servidor del impostor estaban las versiones de 32 y 64 bits de Cinnamon pero solo la versión de 64 bits parece estar infectada.

Por lo tanto, si has descargado Mint 17.3 Cinnamon este fin de semana, y no has validado la descarga, y has instalado ese ISO, probablemente tendrás malware en tu ordenador.

Para empeorar las cosas, Mint reconoce que en el ataque, los ciberdelincuentes han conseguido acceder a la base de datos del foro, robando los nombres de usuarios, las contraseñas cifradas, los datos del usuario y por si fuera poco, los mensajes privados. Si usas ese foro, cambia cuanto antes la contraseña y no uses una que ya estés empleando en otra web.

¿Qué buscar?

Según Mint, la manera más sencilla de saber si estás infectado es buscar la carpeta /var/lib/man.cy si está vacía, probablemente estás a salvo, si hay un fichero, probablemente estás infectado.

Sophos informa que el malware en cuestión es Linux/Tsunami-A, también conocido como Kaiten. Se trata de un tipo de bot antiguo para Linux, que se conecta a un canal IRC a la espera de instrucciones.

¿Qué hacer?

• Si no has descargado Mint este fin de semana, no tienes de que preocuparte.
• Si lo has descargado pero no lo has instalado, simplemente elimina la descarga.
• Si tenías instalado Mint y has hecho alguna actualización (pero no lo has reinstalado) durante el fin de semana, no tienes de que preocuparte.
• Si tienes algún fichero en /var/lib/man.cy probablemente tienes un problema.

En el poco probable caso de que estés infectado, simplemente descarga otra vez el sistema operativo y reinstalalo.

También puedes probar el antivirus de Sophos para Linux que es gratis tanto para usuarios domésticos como profesionales.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: