AUR wurde kompromittiert (inzwischen 1500 Pakete betroffen)

toscdesign

toscdesign

Enthusiast
Thread Starter
Mitglied seit
17.02.2022
Beiträge
9.614
Ort
Im Keller vom DE-CIX

Arch Linux Now Believes Malware Incident Under Control: More Than 1,500 Affected Packages - Phoronix

www.phoronix.com www.phoronix.com

Aus diesem Grund bin ich gerade dabei zu schauen, welche AUR Pakete ich zukünftig auf dem System nicht mehr benötige.
Wofür es Alternativen gibt und welche Pakete inzwischen in den originalen Arch Quellen verfügbar sind.

Wenn ihr yay als AUR Helper nutzt, könnt ihr euch einfach eine Textdatei mit den installierten Pakten erstellen lassen.
Code: 
yay -Qme > aur-pakete.txt

Das sieht dann z.B. bei mir so aus:
Code: 
  GNU nano 9.0                                                          aur-pakete.txt                                                                    
appimagelauncher 3.0.0_beta_3-1
cheese 44.1-7
epson-inkjet-printer-escpr 1.8.8-1
freac 1.1.7-2
goverlay-bin 0.9.1-3
heroic-games-launcher-bin 2.21.0-1
imagescan 3.65.0-20
imagescan-plugin-networkscan 1.1.4-0
jdownloader2 latest-22
joplin-desktop 3.5.13-1
jstest-gtk-git 0.1.0.r127.g92bdf8e-1
khotkeys 5.27.10-1
kinit 5.116.0-1
lib32-gst-plugins-base-libs 1.28.2-1
mint-backgrounds-vera 1.0-2
qtqr 2.1-9
reiserfsprogs 3.6.27-7
ryzen_smu-dkms-git 181.9f9569f-1
spacenavd 1.3.1-1
splix 2.0.1-2
syncthingtray-qt6 2.0.10-1
t150_driver-dkms-git 0.7c.r156.fdb83ef-1
timeshift-autosnap 0.10.0-1
ttf-ms-win11-auto 10.0.26100.1742-4
ventoy-bin 1.1.12-1


Ist eben alles ein wenig Aufwand.



Edit:
Anbei die aktuelle Liste:

Re: AUR REPORT THREAD - Aur-general - lists.archlinux.org

lists.archlinux.org lists.archlinux.org


Ich habe das jetzt in eine weitere Textdatei gesetzt und mit dem Tool Meld vergleichen lassen.
Glücklicherweise habe ich keines der kompromittierten Pakte installiert.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Über den Thread bei Phoronix bin ich irgendwie heute morgen dann auch hier rausgekommen:

discuss.cachyos.org

AUR Compromised - 1500+ packages affected - 20260611

As recently discussed on the Arch Mailing list there appears to have been a large coordinated attack on the AUR some time within the last 24 hours that seems to have resulted in a rather sizable amount of packages being contaminated with malware. This is a good reminder that the AUR is open...
discuss.cachyos.org discuss.cachyos.org

Eventuell gibt es da ja auch noch gute Ideen :).
 
Die Liste wurde noch mal aktualisiert:
md.archlinux.org

HedgeDoc - Collaborative markdown notes

``` 123pan-bin 1code 8188eu-dkms 8192eu-dkms-git abntex acpitool actual-ai adapta-gtk-theme-git adbl
md.archlinux.org md.archlinux.org

Edit:
Hab jetz mal mit dem Script von cachyos getestet, auch das hat bei mir nichts gefunden (y)
 
Zuletzt bearbeitet:
Bei mir sind es zwar nur 2 Packages aus dem AUR welche installiert sind, aber trotzdem werde ich bis auf weiteres weder die packages updaten noch irgendwas anderes aus dem AUR holen. Hoffe dass die ganze Misere zeitnah gefixt werden kann und vorbei geht.

That´s why we can´t have nice things...
 
In the meantime: sudo pacman -Syu, etwaiges chaotic aur deaktivieren, npm in die ignorelist aufnehmen.
 
Syu ist das erste nach jedem hochfahren und das letzte vor dem wieder herunterfahren. Sc nicht zu vergessen, und einmal im Monat Syyu. Chaotic nutze ich nicht.
 
Jedem das seine, aber:
enteryournamehere schrieb:
Syu ist das erste nach jedem hochfahren und das letzte vor dem wieder herunterfahren.
Zum Vergrößern anklicken....
Der schnellste WEg mal was nicht fertiges zu schlucken. Betrifft immer mal wieder nvidia themen. Weniger ist imho mehr, alle 2-3 Tage reicht.
enteryournamehere schrieb:
Sc nicht zu vergessen,
Zum Vergrößern anklicken....
Doch, zu vergessen, besser ist regelmässig
Code: 
sudo pacman -Qdtq | sudo pacman -Rns -
enteryournamehere schrieb:
und einmal im Monat Syyu.
Zum Vergrößern anklicken....
yy is to be avoided.... Macht keinen Sinn wenn man nicht ständig mirrors wechselt. Im Zweifelsfall lieber ab und an reflector nutzen. Aber da bin ich prinzipiell eh raus, hab meinen eigenen lokalen Mirror.
enteryournamehere schrieb:
Chaotic nutze ich nicht.
Zum Vergrößern anklicken....
Ja nu. Ich im Moment auch nicht, aus... "Gründen".
 
Mal ne Frage vom unbedarften Linux User:
Ich habe einen Rechner mit Fedora der immer mal sporadisch angeschaltet wird.
Inwiefern könnte mich das betreffen (oder nicht)?
(ich kapier hier grad nicht ganz so viel ausser das eine Updatequelle verseucht wurde)
 
Das AUR ist das Arch user repository. Nicht das Fedora user repository. Du bist safe.
 
Ich verstehe irgendwie nicht so ganz warum das AUR überhaupt zu dem Zeitpunkt noch offen ist? Wäre das nicht Sinnvoller erstmal komplett dicht zu machen und den Schaden zu beheben? So reparieren die ja irgendwie nur hinterher ?

Was für ein Clusterf..k
 
Die müssten erstmal das AUR jetzt zu machen und aufräumen, und vor dem öffnen neue Sicherheitsmechanismen einbauen.

Vielleicht sollte die Arch Community auch mal darüber nachdenken, einige Pakete die bei anderen Distros in den offiziellen Paketen drin sind, auch bei Arch in die offiziellen Paketen aufzunehmen. Dann braucht man für viele Dinge das AUR nicht mehr.

Ganz nebenbei, CachyOS installiert standardmäßig den Heroic Launcher aus dem AUR mit. Das ist auch nicht ganz optimal.
Beitrag automatisch zusammengeführt:

Shihatsu schrieb:
chaotic aur
Zum Vergrößern anklicken....
Das ist doch gar nicht betroffen. Die Schutzmaßnahmen haben gewirkt.
Zumindest schreibt es so das Garuda Linux Team
 
Zuletzt bearbeitet:
toscdesign schrieb:
Das ist doch gar nicht betroffen. Die Schutzmaßnahmen haben gewirkt.
Zumindest schreibt es so das Garuda Linux Team
Zum Vergrößern anklicken....
Die Schutzmassnahmen gegen die erste Attacke haben gewirkt. Und gegen die zweite, weil die absolut diletantisch war. Wer sich vergangene npm-Angriffe anschaut wird feststellen das Welle3 und vor allem Welle4 viel besser sind. Mein Vertrauen ist im Moment eher nicht vorhanden, ich update zur Zeit keine AUR-dinge, die nicht extrem simpel sind - so simpel das ich jede Zeile des packagebuilds verstehen , nachvollziehen und überprüfen kann. Das ist btw etwas das Arch erwartet, von jedem User. :(
 
Ich habe auch bei mir in mein Update-Script ne Abfrage rein, die vor den AUR Updates kommt.

Muss ich halt jetzt immer überspringen.
 
Naja, einfach "wie früher": sudo pacman -Syu
 
Shihatsu schrieb:
Naja, einfach "wie früher": sudo pacman -Syu
Zum Vergrößern anklicken....
Mein Script macht ein bissel mehr.
Hab ich mir von Gemini schreiben lassen, da mit das manuelle durchgehend er Schritte auf den Keks ging.

Bash: 
#!/bin/bash

# Farben für eine bessere Lesbarkeit im Terminal definieren
ROT='\033[0;31m'
GRUEN='\033[0;32m'
BLAU='\033[0;34m'
GELB='\033[0;33m'
NC='\033[0m' # No Color (Farbe zurücksetzen)


echo ""
echo -e "${BLAU}=== SCHRITT 1: Paket-Cache bereinigen (paccache) ===${NC}"
echo "Der Pacman-Cache wird aufgeräumt. Es werden nur die jeweils letzten 3 Versionen behalten..."
sudo paccache -r
sudo paccache -ruk0

echo ""
echo -e "${BLAU}=== SCHRITT 2: Arch-Spiegelserverliste aktualisieren ===${NC}"
echo "Reflector sucht nun nach den 10 schnellsten HTTPS-Servern aus DE und AT..."
sudo reflector --country Germany,Austria --protocol https --latest 10 --sort rate --save /etc/pacman.d/mirrorlist

echo ""
echo -e "${BLAU}=== SCHRITT 3: EndeavourOS Spiegelserver optimieren ===${NC}"

# Überprüfung der Konfigurationsdatei auf den DE/AT Eintrag
# Er sucht nach Zeilen, die NICHT mit # beginnen, aber den String enthalten
if grep -q -E "^[^#]*ALWAYS_FIRST_EOS_MIRRORS=['\"]\\\\\.de/\|\\\\\.at/['\"]" /etc/eos-rankmirrors.conf 2>/dev/null; then
    echo -e "${GRUEN}Konfiguration geprüft: DE/AT-Spiegelserver sind korrekt priorisiert.${NC}"
    echo "eos-rankmirrors bewertet jetzt die DE/AT EndeavourOS-Repositories..."
    eos-rankmirrors
else
    echo -e "${ROT}⚠️ WARNUNG: Der DE/AT-Eintrag fehlt oder ist auskommentiert in /etc/eos-rankmirrors.conf!${NC}"
    echo -e "Erwartet wird: ${GELB}ALWAYS_FIRST_EOS_MIRRORS='\.de/|\.at/'${NC}"
    echo ""
    read -p "$(echo -e ${GELB}"Möchtest du eos-rankmirrors trotzdem mit Standardwerten ausführen? (j/N): "${NC})" antwort_conf
    antwort_conf=$(echo "$antwort_conf" | tr '[:upper:]' '[:lower:]')
   
    if [[ "$antwort_conf" == "j" || "$antwort_conf" == "ja" ]]; then
        echo "Führe eos-rankmirrors mit Standardwerten aus..."
        eos-rankmirrors
    else
        echo -e "${GELB}eos-rankmirrors wurde übersprungen.${NC}"
    fi
fi

echo ""
echo -e "${BLAU}=== SCHRITT 4: Schlüsseldateien (Keyrings) aktualisieren ===${NC}"
echo "Die PGP-Schlüssel für Arch Linux und EndeavourOS werden jetzt auf den neuesten Stand gebracht..."
sudo pacman -Sy archlinux-keyring endeavouros-keyring --noconfirm

echo ""
echo -e "${BLAU}=== SCHRITT 5: Abfrage für offizielle Systemupdates ===${NC}"
read -p "$(echo -e ${GELB}"Möchtest du die offiziellen Systempakete (Arch/EndeavourOS Repos) aktualisieren? (J/n): "${NC})" antwort_sys

antwort_sys=$(echo "$antwort_sys" | tr '[:upper:]' '[:lower:]')

if [[ -z "$antwort_sys" || "$antwort_sys" == "j" || "$antwort_sys" == "ja" ]]; then
    echo ""
    echo "Es wird nun nach Updates für offizielle Pakete gesucht..."
    sudo pacman -Syyu
else
    echo ""
    echo -e "${GELB}Offizielle Systemupdates wurden vom Benutzer übersprungen.${NC}"
fi

echo ""
echo -e "${BLAU}=== SCHRITT 6: Abfrage für AUR-Updates ===${NC}"
read -p "$(echo -e ${GELB}"Möchtest du alle AUR-Pakete jetzt aktualisieren? (J/n): "${NC})" antwort_aur

antwort_aur=$(echo "$antwort_aur" | tr '[:upper:]' '[:lower:]')

if [[ -z "$antwort_aur" || "$antwort_aur" == "j" || "$antwort_aur" == "ja" ]]; then
    echo ""
    echo "Es wird nun nach Updates für deine AUR-Pakete gesucht..."
    yay -Syua
else
    echo ""
    echo -e "${GELB}AUR-Updates wurden vom Benutzer übersprungen.${NC}"
fi

echo ""
echo -e "${GRUEN}=== Sämtliche Vorgänge beendet ===${NC}"
 
No confirm. Tjoa, ki scheisse.
 
Was meinst du?
Ich hab ne Abfrage einbauen lassen, damit ich die AUR Updates überspringen kann.
Passt für mich also.
 
Da ist ein noconfirm drin, aka Müll. Aber mach du mal. Ki slop supporte ich nicht. Da bin ich radikal.
 
Mach dir nicht ins Hemd :rolleyes2:
Das geht seit 2023 gut, ja ich hab das vorher auch immer von Hand so eingeben.

Wer keine automatischen Snapshots (btrfs) bei Updates aktiv hat, hat eben Pech gehabt.
Nebenbei, die habe ich genau einmal gebraucht und das war in meiner Testinstallation 2019.
 
Anmelden, um zu antworten.

Ähnliche Themen

pabu.roar
Serie: Alte Retro-Games in neuem Glanz (Anleitung für Windows 11)
Antworten
13
Aufrufe
3K
pabu.roar
pabu.roar
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh