Was ich nicht so recht verstehe...wenn die cracker die ISO austauschen konnten, hätten die dann nicht auch einfach den hash ihrer manipulierten ISO da posten können, sodass dann selbst die, die hash gegenchecken, glauben es sei alles ok?

Zitat:

Zitat von cosinus

Was ich nicht so recht verstehe...wenn die cracker die ISO austauschen konnten, hätten die dann nicht auch einfach den hash ihrer manipulierten ISO da posten können, sodass dann selbst die, die hash gegenchecken, glauben es sei alles ok?

So wie ich das gelesen habe, habe die die Links zum Download an ihre ftp-Server weitergeleitet. Ich weiss jetzt nicht ob die tatsächlich vollen Zugriff auf die Inhalte der Seite hatten.

Nein, hatten sie nicht die Repos sind auf einen anderen Server lediglich der Blog zu den verlinkten iso's war betroffen. Ausserdem wurde linumint.com offline gestellt die User-Daten wurden komplett gestohlen und stehen bereits zum Verkauf. Die Motivation dahinter ist noch nicht bekannt ich vermute aber das die dahinter stecken der Distro schaden wollen sonst hätten sie mehr angerichtet....

http://blog.malwaremustdie.org/2013/...-ircbot-w.html

Zitat:

Zitat von cosinus

Was ich nicht so recht verstehe...wenn die cracker die ISO austauschen konnten, hätten die dann nicht auch einfach den hash ihrer manipulierten ISO da posten können, sodass dann selbst die, die hash gegenchecken, glauben es sei alles ok?

Wenn man vollen Zugriff auf die Seite hat, dann kann man natürlich auch entsprechende MD5-Summen zu den manipulierten ISOs liefern.
Ansonsten finde ich diese Überlegungen von "Bobby" schon ziemlich realistisch:

Zitat:

1.
mit Analysen welche Dateien wie lange betroffen waren würde ich persönlich mich zum jetzigen Zeitpunkt eher zurückhalten, vllt hat ja jemand mehr Infos.

Was ich sehe: Nachdem Clem bekanntgegeben hat was seiner Meinung nach passiert ist, was betroffen war und dass es behoben ist wurde er darauf hingewiesen dass er aber immer noch unter Angriff steht und weiter Downloadlinks manipuliert werden, was er dann bestätigt hat und einfach die ganze Seite vom Netz genommen hat. Die ist ja bis jetzt offline. Ich schätze seine erste Info zur Schwachstelle als Fehleinschätzung ein, dass es behoben wurde war ja offensichtlich zu dem Zeitpunkt auch ein Irrtum.
Das 32bit nicht betroffen war, war eine weitere Fehleinschätzung, außer Links zu Servern in Afrika und Asian verlaufen planmäßig nach Bulgarien...
Spätestens am 16. Januar ist die Datenbank von LM schon im Darkweb aufgetaucht, man kann davon ausgehen dass es sich um die gleichen Angreifer gehandelt haben kann und die bis zum Shutdown der Seite heute Zugang hatten.
Wie man jetzt schon sicher analysieren kann was die in dem Zeitrahmen wie wo wann gemacht haben ist mir schleierhaft ich würde mich das nicht trauen.

2.
Die Zugangsdaten wurden auf mehreren Seiten gepostet, teils bevor das bekannt wurde und scheinen auch "ausgetestet" worden zu sein, ich will hier aber nichts verlinken da das etwas grenzwertig ist. Man muss jetzt auch keine Sau durchs Dorf treiben aber die Passwortpolitik sollte man vllt mal überdenken.

3.
Wie genau der Angriff erfolgt ist sollte man wohl auch nicht als geklärt sehen.
Nachdem das mit Wordpress von Clem verkündet wurde (und man kann wohl davon ausgehen dass er das verkündet hat NACHDEM er das was er für die Schwachstelle gehalten hat behoben hat) wurde ja nochmal/wieder/immernoch zugeschlagen. Das was immer er auch für das Einfallstor gehalten hat war es ja offenbar nicht, zumindest nicht exklusiv. Außerdem passt das überhaupt nicht mit den anderen Infos zusammen.
Möglicherweise wurde ja auch Zugang zu dem Ganzen verkauft/weitergegeben und fand auf mehreren Ebenen durch verschiedene Personen statt.
Für mich sieht das eher so aus als wäre die Seite schon länger für irgendjemand offen und man ist entweder jetzt auf die Idee gekommen das für ein Botnet auszunutzen oder man hat den Zugang an jemand verkauft der das dann heute/gestern gemacht hat.