Hetzner Announces Backdoor Detection on Its Systems
Hetzner just made a mass mailing to all dedicated hosting clients, reporting that a backdoor was found on his network, and that a significant part of user data could be compromised, including all information stored in the Robot web panel (credit card information However, they were not harmed).
According to the letter, the malware entered the company’s network through a hole in the Nagios monitoring system and hit the running processes of the Apache web server and sshd (terminal), without changing the binaries themselves, which allowed the gaps to go unnoticed for such a long time. According to the technicians, they had never come across anything like this before.
To assess the incident, a separate security company was hired to help local administrators figure out what had happened and completely clear the network of all copies of the malware. All competent authorities were notified, the investigation has not yet been completed.
According to the letter, the malware entered the company’s network through a hole in the Nagios monitoring system and hit the running processes of the Apache web server and sshd (terminal), without changing the binaries themselves, which allowed the gaps to go unnoticed for such a long time. According to the technicians, they had never come across anything like this before.
To assess the incident, a separate security company was hired to help local administrators figure out what had happened and completely clear the network of all copies of the malware. All competent authorities were notified, the investigation has not yet been completed.
Translation mailing list
(original - pastebin.com/czHJDtif )Дорогой клиент,
В конце прошлой недели технические инженеры Hetzner обнаружили т.н. бэкдор в одной из наших внутренних систем мониторинга (Nagios).
Немедленно начатое расследование показало, что интерфейс администрирование для выделенных серверов (Robot) также был скомпрометирован. Имеющаяся у нас на данный момент информация предполагает, что часть нашей базы данных по клиентам была скопирована извне.
Как следствие, мы сообщаем, что клиентская информация, хранившуюся в Robot, следует считать скомпрометированной.
Насколько мы знаем, зловредная программа, которую мы обнаружили, является неизвестной и ранее нигде не появлялась.
Зловредный код, примененный в бэкдоре, заражает исключительно RAM. Первичный анализ предполагает, что зловредный код непосредственно внедряется в запущенные процессы Apache и sshd. Таким образом, вирус не только не изменяет бинарные файлы сервисов, которые он поразил, но и не перезапускает их.
Благодаря этому, стандартная процедура, как, например, изучение чексумм или проверка при помощи утилиты rkhunter, не способна выявить заражение.
Чтобы помочь нашим штатным администраторам, мы обратились за помощью к независимой компании по обеспечению безопасности, предоставив им детальный отчёт о случившемся. На данный момент анализ произошедшего еще не завершён.
Пароли для доступа в панель Robot хранятся в нашей БД в виде SHA256-хэша с солью. В качестве меры предосторожности, мы рекомендуем сменить ваши пароли в Robot.
Что касается кредитных кард — то мы храним лишь три последних цифры номера карты, её тип (MasterCard, Visa, etc. — прим. пер), и дату её действия. Вся остальная информация хранится у нашего поставщика платёжных услуг, и связана с нашими системами через случайно сгенерированный номер карты. Таким образом, насколько мы можем судить, данные по кредитным картам скомпрометированы не были.
Технические инженеры Hetzner непрерывно работают над локализацией существующих брешей в защите, равно как и над предотвращением возникновения новых, чтобы обеспечить максимально возможную безопасность наших систем и инфраструктуры. Безопасность данных для нас очень важна. Для ускорения дальнейшего раследования, мы обратились в соответствующие правоохранительные органы.
Более того, мы постоянно находимся на связи с федеральным управлением криминальной полиции (Federal Criminal Police Office, BKA — прим. пер.).
Как само собой разумеющееся, мы будем держать вас в курсе событий и сообщать обо всей новой информации.
Мы очень сожалеем о случившемся, и благодарим вас за понимание и доверие.
Для того, чтобы помочь вам с запросами по безопасности, мы разместили специальную страницу с вопросами и ответами — wiki.hetzner.de/index.php/Security_Issue/en.
В конце прошлой недели технические инженеры Hetzner обнаружили т.н. бэкдор в одной из наших внутренних систем мониторинга (Nagios).
Немедленно начатое расследование показало, что интерфейс администрирование для выделенных серверов (Robot) также был скомпрометирован. Имеющаяся у нас на данный момент информация предполагает, что часть нашей базы данных по клиентам была скопирована извне.
Как следствие, мы сообщаем, что клиентская информация, хранившуюся в Robot, следует считать скомпрометированной.
Насколько мы знаем, зловредная программа, которую мы обнаружили, является неизвестной и ранее нигде не появлялась.
Зловредный код, примененный в бэкдоре, заражает исключительно RAM. Первичный анализ предполагает, что зловредный код непосредственно внедряется в запущенные процессы Apache и sshd. Таким образом, вирус не только не изменяет бинарные файлы сервисов, которые он поразил, но и не перезапускает их.
Благодаря этому, стандартная процедура, как, например, изучение чексумм или проверка при помощи утилиты rkhunter, не способна выявить заражение.
Чтобы помочь нашим штатным администраторам, мы обратились за помощью к независимой компании по обеспечению безопасности, предоставив им детальный отчёт о случившемся. На данный момент анализ произошедшего еще не завершён.
Пароли для доступа в панель Robot хранятся в нашей БД в виде SHA256-хэша с солью. В качестве меры предосторожности, мы рекомендуем сменить ваши пароли в Robot.
Что касается кредитных кард — то мы храним лишь три последних цифры номера карты, её тип (MasterCard, Visa, etc. — прим. пер), и дату её действия. Вся остальная информация хранится у нашего поставщика платёжных услуг, и связана с нашими системами через случайно сгенерированный номер карты. Таким образом, насколько мы можем судить, данные по кредитным картам скомпрометированы не были.
Технические инженеры Hetzner непрерывно работают над локализацией существующих брешей в защите, равно как и над предотвращением возникновения новых, чтобы обеспечить максимально возможную безопасность наших систем и инфраструктуры. Безопасность данных для нас очень важна. Для ускорения дальнейшего раследования, мы обратились в соответствующие правоохранительные органы.
Более того, мы постоянно находимся на связи с федеральным управлением криминальной полиции (Federal Criminal Police Office, BKA — прим. пер.).
Как само собой разумеющееся, мы будем держать вас в курсе событий и сообщать обо всей новой информации.
Мы очень сожалеем о случившемся, и благодарим вас за понимание и доверие.
Для того, чтобы помочь вам с запросами по безопасности, мы разместили специальную страницу с вопросами и ответами — wiki.hetzner.de/index.php/Security_Issue/en.