Pull to refresh

Hetzner сообщил об обнаружении бэкдора в своих системах

Hosting
Только что Hetzner совершил массовую рассылку для всех клиентов выделенного хостинга, сообщая об обнаружении бэкдора в своей сети, и о том, что значительная часть данных пользователей могла быть скомпрометирована, в том числе вся информация, хранящаяся в веб-панели Robot (данные по кредитным картам, впрочем, не пострадали).

Согласно письму, зловред проник в сеть компании через дыру в системе мониторинга Nagios, и поражал запущенные процессы веб-сервера Apache и sshd (терминал), при этом не изменяя сами бинарники, что и позволило бреши столь долгое время находиться незамеченной. По словам техников, ничего подобного им раньше не попадалось.

Для оценки произошедшего была нанята отдельная секьюрити-компания, которая помогает местным администраторам разобраться в произошедшем, и полностью вычистить сеть от всех копий зловреда. Все компетентные органы были оповещены, расследование на данный момент еще не завершено.

Перевод письма-рассылки
Дорогой клиент,

В конце прошлой недели технические инженеры Hetzner обнаружили т.н. бэкдор в одной из наших внутренних систем мониторинга (Nagios).

Немедленно начатое расследование показало, что интерфейс администрирование для выделенных серверов (Robot) также был скомпрометирован. Имеющаяся у нас на данный момент информация предполагает, что часть нашей базы данных по клиентам была скопирована извне.

Как следствие, мы сообщаем, что клиентская информация, хранившуюся в Robot, следует считать скомпрометированной.

Насколько мы знаем, зловредная программа, которую мы обнаружили, является неизвестной и ранее нигде не появлялась.

Зловредный код, примененный в бэкдоре, заражает исключительно RAM. Первичный анализ предполагает, что зловредный код непосредственно внедряется в запущенные процессы Apache и sshd. Таким образом, вирус не только не изменяет бинарные файлы сервисов, которые он поразил, но и не перезапускает их.

Благодаря этому, стандартная процедура, как, например, изучение чексумм или проверка при помощи утилиты rkhunter, не способна выявить заражение.

Чтобы помочь нашим штатным администраторам, мы обратились за помощью к независимой компании по обеспечению безопасности, предоставив им детальный отчёт о случившемся. На данный момент анализ произошедшего еще не завершён.

Пароли для доступа в панель Robot хранятся в нашей БД в виде SHA256-хэша с солью. В качестве меры предосторожности, мы рекомендуем сменить ваши пароли в Robot.

Что касается кредитных кард — то мы храним лишь три последних цифры номера карты, её тип (MasterCard, Visa, etc. — прим. пер), и дату её действия. Вся остальная информация хранится у нашего поставщика платёжных услуг, и связана с нашими системами через случайно сгенерированный номер карты. Таким образом, насколько мы можем судить, данные по кредитным картам скомпрометированы не были.

Технические инженеры Hetzner непрерывно работают над локализацией существующих брешей в защите, равно как и над предотвращением возникновения новых, чтобы обеспечить максимально возможную безопасность наших систем и инфраструктуры. Безопасность данных для нас очень важна. Для ускорения дальнейшего раследования, мы обратились в соответствующие правоохранительные органы.

Более того, мы постоянно находимся на связи с федеральным управлением криминальной полиции (Federal Criminal Police Office, BKA — прим. пер.).

Как само собой разумеющееся, мы будем держать вас в курсе событий и сообщать обо всей новой информации.

Мы очень сожалеем о случившемся, и благодарим вас за понимание и доверие.

Для того, чтобы помочь вам с запросами по безопасности, мы разместили специальную страницу с вопросами и ответами — wiki.hetzner.de/index.php/Security_Issue/en.
(оригинал — pastebin.com/czHJDtif)
Tags:
Hubs:
Total votes 86: ↑77 and ↓9 +68
Views 31K
Comments 94
Comments Comments 94

Posts