Noch eine kurze Warnung für Linux-Interessenten, die sich für Xubuntu interessieren. Es gibt Berichte, dass die betreffende Xubuntu-Webseite Malware verteilen könnte. Inzwischen ist die Download-Seite deaktiviert. Also Vorsicht walten lassen und heruntergeladenes möglichst nicht verwenden, bis das geklärt ist.
Diskussion auf reddit.com und X
Mir ist das Thema auf zwei Ebenen untergekommen. Einmal ist mir der folgende Tweet mit einer Warnung untergekommen.
Er verwies auf diesen reddit.com-Thread von gestern. Dort schreibt jemand, dass Torrent-Downloads unter https: // xubuntu[.]org/download/ eine ZIP-Datei mit einer verdächtigen EXE-Datei und einer tos.txt-Datei im Inneren liefern. Die Nutzungsbedingungen beginnen mit "Copyright (c) 2026 Xubuntu.org", was verdächtig ist, da wir immer noch das Jahr 2025 haben.
Der reddit.com-Poster hat die EXE-Datei mit File-Roller geöffnet und konnte darin keine .torrent-Datei finden. Ist recht obskur. Die Kompromittierung muss nach dem 11. Oktober 2025 passiert sein, wenn ich die Diskussion richtig interpretiere. vxunderground liefert in seinem Tweet noch eine Analyse der Nutzlast.
Krude Nutzlast
Ergänzung: Etwas krude ist die Geschichte aber schon. Es heißt, dass die ausgelieferte Malware / Nutzlast ein Krypto-Clipper sei, der sich in AppData installiert und erst aktiviert wird, wenn Nutzer auf die Schaltfläche Download-Link generieren klicken.
Das ist aber alles Windows-Zeugs, d.h. eine .exe-Datei, die sich in AppData installiert. Jemand schrieb dazu:
Das scheint mir ein sehr plumper Kompromiss zu sein. Wie viele Leute, die einen Torrent-Link erwarten, werden das hier herunterladen, sehen, dass es sich um eine ZIP-Datei handelt, sie entpacken, darin eine beliebige Windows-Ausführungsdatei finden und diese dann ausführen?
Man hätte sich wenigstens etwas Mühe geben und auf der Webseite eine Beschreibung wie "Torrent-Link-Auswahl für Windows-Benutzer" hinzufügen können (das scheint es zumindest zu sein, wenn man nach den in der Ausführungsdatei eingebetteten Zeichenfolgen geht).
Dem ist wenig hinzuzufügen.
Download deaktiviert
Ergänzung: Gegen 18:00 Uhr deutscher Zeit schrieb jemand: "Wir sind für Upgrades auf unsere Hosting-Umgebung angewiesen, und es scheint, als hätte es hier einen kleinen Fehler gegeben. Wir arbeiten daran, aber vorerst ist die Download-Seite deaktiviert."
Ein Leserhinweis
Zudem hat sich ein Leser gemeldet und schrieb in einer E-Mail: "Vielleicht ist das eine Warnmeldung wert?" und verwies auf den Artikel Xubuntu-Webseite verteilte Malware von Linux News. Dort heißt es, dass die Webseite xubuntu.org wohl seit Mitte Oktober 2025 kompromittiert zu sein scheint. Nutzer hätten fremdsprachige Blogeinträge und ein manipuliertes Impressum mit der Jahreszahl Copyright (c) 2026 Xubuntu.org bemerkt.
MVP: 2013 – 2016
xubuntu(dot)org läuft mit einer veralteten Nginx 1.14.0 aus irgendwann 2018 (Hint, hint, "F5 seit Monaten gehackt" Meldung vor einigen Tagen) und zudem einer veralteteten WordPress 5.9.3 aus dem April 2022 (im WordPress 5.9.x Pfad gäbe es inzwischen 5.9.12 vom 30.09.2025). Insofern…
Gerade mal geschaut: Sogar unter Ubuntu 20 gibt es nginx 1.18. Das ist schon wild.
das heißt nicht zwingend, das diese Version sicherheitstechnisch auf dem Niveau ist, das Upstream zu diesem Zeitpunkt hatte. Manchmal werden Sicherheitssachen auch zurückportiert und in die alte Version integriert, damit die stable möglichst keine funktionalen Änderungen erhält (ist ja als "stabil" deklariert)
Trotzdem sollte bei lt. Artikel "angewiesen bei Upgrades auf Hosting-Umgebung" wenigstens z.B. die stable 5.9.x WordPress 5.9.12 vom September 2025 laufen statt eine sehr alte Revision vom April 2022.
Ja, Backporting ist schon klar.
Das dort aber nur ein 1.14 läuft und in Ubuntu 20 bereits ein 1.18 läuft kann das ja nur heißen: Es läuft da eine Ubuntu-Version < 18.
Klar, ist noch nicht vollständig EOL, aber ich bin trotzdem etwas verwundert warum man selbst so ein altes OS einsetzt und erst "auf den letzten Drücker" updaten will.
Mit Linux/Open Source wäre das nicht passiert… oh halt! ;-P
Naja Ubuntu & Derivate sollte halt auch nicht das Linux der Wahl sein, hat ja auch abseits "Malware" seine Macken.
Du hast mal wieder überhaupt nicht heißen oder verstanden, was da steht.
Aber Hauptsache, du hattest deinen Spaß und konntest deinen minderqualifizierten Kommentar dazu angeben. :-P
Wie ist es den möglich, dass "Anonym" schreibt das da eine alte Nginx Version auf xubuntu(dot)org läuft? Das muss doch der "Open Source Sicherheits Community" aufgefallen sein.
Du scheinst hungrig zu sein:
>
Aber um deine Frage zu beantworten:
Genau so wie es möglich ist, dass ungepatchte Exchanges offen im Netz stehen: Sorglosigkeit und Inkompetenz der Betreiber.
Was hat mangelnde Softwaremaintenance bzw Versionsmanagement des Systems/Webservers mit Open oder Closed Source zu tun?
Was hat die Distribution Xubuntu mit dem Webserver der Website Ansicht zu tun?
Manchmal ist es vielleicht doch nicht so einfach, wie einige denken.
"Manchmal ist es vielleicht doch nicht so einfach, wie einige denken."
Eben. Hauptargument bei OpenSource ist ja oft recht breitspurig, dass der Quellcode offen ist und es jeder kontrollieren kann…
Theoretisch mag das ein, aber angenommen keine Sau kontrolliert mal wirklich die Distributionseiten/Landing Pages der einzelnen Distributionen, was im Vergleich zum Quellcode Kinderkacke ist. Was sagst das den über den generellen Zustand Sicherheit bei Open Sources aus? Immerhin ist die Version über SIEBEN Jahre alt. Entweder ist es nie aufgefallen ODER es es wurde mehrmals angemerkt, aber hat dort Niemanden gejuckt.
Die Frage ist halt auch wie es bei anderen OpenSource Projekten aussieht, eben weil die Leute auch nicht immer Zeit und Kohle haben. Ist aber auch spannend, dass in dem Fall dann direkt wieder die Betreiber "schuld" sind. Was sie natürlich auch sind, aber Open Source lebt halt auch von der "Community"… Die hätte in den Fall aber auch verkackt.
Wie gesagt, Sicherheit und Open Source ist ja oft ein Hauptargument. Ich bezweifelt aber stark, dass da wirklich eine Community dahinter steht die das auch leisten kann.
Was erwartest du? Dass Millionen von Freiwilligen jedes einzelne Projekt permanent nach Problemen abscannen und die Betreiber darauf hinweisen?
Das ist doch – sorry – völlig weltfremder Quatsch, den du da von dir gibst.
Hier gab es ja offensichtlich eine bekannte und längst behoben Verwundbarkeit des Webservers. Warum der Hoster/Betreiber da nicht reagiert hat, ist ausschließlich sein Problem, nicht das von Open oder Clsed Source.
Was erzählst du da?
Was hat es mit Open Source und deiner Basherei zu tun, wenn etwas "SIEBEN" Jahre alt ist? Und inwiefern ist da jetzt die Community dran Schuld? Sollen die jetzt zu dem Betreiber hingehen und unter Gewaltandrohung dazu zwingen, da was zu patchen? Oder wie wäre es dir genehm?
Auf jeden Fall wirft es ein schlechtes Licht auf den Maintainer, wenn es bereits bei so etwas scheitert.
Die Version sagt ja erst mal nichts über die Sicherheit – zumindest im Linux-Umfeld. Backporting ist dort recht normal.
Wo man sich aber zurecht wundern kann: Warum man so ein altes OS einsetzt. Das kann nur ein Ubuntu < 20 sein (20 hat bereits 1.18).
Allerdings: Auch das ist nicht EOL.
Hatte Xubuntu von dort vor ein paar Tagen geladen und mit Rufus auf einem USB-Stick dann auf einem Win11-PC gestartet, danach hatte Win11 einen offenen GAST-Account, dort ist wohl schon doch was faul.
Ist es nicht irgendwie lustig-tragisch, dass der Download einer Linuxdistro ein Windows korrumpiert? :-D
Inzwischen haben sie den xubuntu(dot)org ganz an die Wand gefahren, ausser der Startseite ergeben hier alle Unterseiten derzeit "503 Service Unavailable, No server is available to handle this request."