近日，Linux Mint網站遭遇駭客襲擊，一個叫“Peace”的駭客組織，入侵了Linux Mint 的官網，修改下載連結，替換為一個植入後門的修改版Linux Mint ISO文件，也就是一個”駭客版“的Linux作業系統，用戶一旦安裝，也就在不知不覺中成為駭客僵屍網路的一員。此消息迅速傳遍了各個開源社區，在國內，百度安全發佈相關預警後，也在網路上引起了文件完整性檢測，以及僵屍網路防禦的討論。

　　百度安全第一時間發出預警

　　在此次攻擊事件的第一時間裏，百度安全旗下的百度雲安全聯合百度安全實驗室(X-lab)的安全專家，向網際網路用戶發出安全預警。與此同時，百度安全還對攻擊事件進行了全面跟蹤，並建議(北京時間)2月19~21日期間下載過Linux Mint 17.3 Cinnamon版本的用戶都要進行安全檢查。

　　百度安全實驗室(X-lab)建議用戶，一旦確認下載到具有惡意程式的ISO文件，倘若已經刻錄在DVD光碟或存儲在USB設備內都不應再次使用，用戶還應該終止網路連結並備份個人資料，格式化或重新安裝作業系統。

　　最有一點尤為重要，受感染的用戶資料已經在地下黑市中出現，別有用途的人只要花上0.197個比特幣或者是85美元，就可以購買全部用戶資訊。因此，用戶還應及時更改電子郵件和敏感網站的密碼。

　　“完整性檢測”未能形成屏障

　　從攻擊特點上，駭客只是替換了官方網站的連結地址，但駭客行動的細節卻讓許多頗具安全意識的用戶也難逃一劫。為何這樣説呢？

　　百度安全實驗室(X-lab)安全專家xi4oyu表示：“為了避免下載到感染了惡意軟體的文件，有經驗的用戶往往會利用Hash來檢測驗證文件的完整性，尤其是下載敏感文件(比如作業系統映像文件)之後。但是這次駭客的攻擊行動也考慮到這一點，駭客將下載頁面上官方用於驗證文件完整性的Hash值，替換成了後門程式的 Hash 值，欺騙了有經驗的用戶。”

　　隨著網路安全形勢的日趨嚴峻，很多軟體作者在發佈軟體的時候都會公佈軟體的MD5值，用戶下載軟體後可以通過MD5值校檢工具進行驗證，以避免下載到經過惡意篡改的軟體。另外，用戶文件系統中所包含的作業系統基本文件越多，尤其是包含的可執行的系統工具越多，就越有必要通過文件系統完整性審核工具進行保護。但是，替換Linux Mint ISO的駭客卻非常聰明，將“完整性檢測”的對象值也進行了替換，使得這一屏障形同虛設，這次攻擊在揭示駭客手段不斷提升的同時，也為個人和企業用戶的網路安全再次敲響了警鐘。

　　天下還有多少個僵屍網路

　　值得注意的是，駭客在鏡像文件中安裝木馬程式的事件並非首次出現。與Linux Mint ISO安插“海嘯(Tsunami)”的目的一致，深受“蘇拉克”木馬殘害的用戶也非常多。

　　“蘇拉克”是2015下半年來持續爆發的木馬，該木馬感染了大量的電腦，其主要傳播方式是直接在Ghost鏡像中植入木馬，然後將Ghost鏡像上傳到大量網站提供給用戶下載，最終形成的大規模的僵屍網路。

　　僵屍網路是由感染了惡意軟體構成的電腦集群，駭客不僅可以通過遠端發送控制指令用於ddos攻擊，也可以用於竊取信用卡號和銀行憑證等敏感資訊。一般情況下，被僵屍網路控制的終端經常偽裝運轉正常，只有攻擊發生時才會有有所不同，這讓用戶難以防查。

　　針對鏡像文件藏木馬，以及僵屍網路的防禦，百度安全實驗室(X-lab)安全專家xi4oyu表示：“選擇正規渠道或是官方網站下載並校驗文件完整性的做法是十分必要的。當然，在此次事情當中，官方渠道被篡改導致網站提供的用於校驗的checksum不可信，這就對服務提供商自身的安全提出了較高的要求，使用簽名而不僅僅是checksum的方式，並保護好簽名伺服器是個重點。”