Только что Hetzner совершил массовую рассылку для всех клиентов выделенного хостинга, сообщая об обнаружении бэкдора в своей сети, и о том, что значительная часть данных пользователей могла быть скомпрометирована, в том числе вся информация, хранящаяся в веб-панели Robot (данные по кредитным картам, впрочем, не пострадали).
Согласно письму, зловред проник в сеть компании через дыру в системе мониторинга Nagios, и поражал запущенные процессы веб-сервера Apache и sshd (терминал), при этом не изменяя сами бинарники, что и позволило бреши столь долгое время находиться незамеченной. По словам техников, ничего подобного им раньше не попадалось.
Для оценки произошедшего была нанята отдельная секьюрити-компания, которая помогает местным администраторам разобраться в произошедшем, и полностью вычистить сеть от всех копий зловреда. Все компетентные органы были оповещены, расследование на данный момент еще не завершено.
Согласно письму, зловред проник в сеть компании через дыру в системе мониторинга Nagios, и поражал запущенные процессы веб-сервера Apache и sshd (терминал), при этом не изменяя сами бинарники, что и позволило бреши столь долгое время находиться незамеченной. По словам техников, ничего подобного им раньше не попадалось.
Для оценки произошедшего была нанята отдельная секьюрити-компания, которая помогает местным администраторам разобраться в произошедшем, и полностью вычистить сеть от всех копий зловреда. Все компетентные органы были оповещены, расследование на данный момент еще не завершено.
Перевод письма-рассылки
(оригинал — pastebin.com/czHJDtif)Дорогой клиент,
В конце прошлой недели технические инженеры Hetzner обнаружили т.н. бэкдор в одной из наших внутренних систем мониторинга (Nagios).
Немедленно начатое расследование показало, что интерфейс администрирование для выделенных серверов (Robot) также был скомпрометирован. Имеющаяся у нас на данный момент информация предполагает, что часть нашей базы данных по клиентам была скопирована извне.
Как следствие, мы сообщаем, что клиентская информация, хранившуюся в Robot, следует считать скомпрометированной.
Насколько мы знаем, зловредная программа, которую мы обнаружили, является неизвестной и ранее нигде не появлялась.
Зловредный код, примененный в бэкдоре, заражает исключительно RAM. Первичный анализ предполагает, что зловредный код непосредственно внедряется в запущенные процессы Apache и sshd. Таким образом, вирус не только не изменяет бинарные файлы сервисов, которые он поразил, но и не перезапускает их.
Благодаря этому, стандартная процедура, как, например, изучение чексумм или проверка при помощи утилиты rkhunter, не способна выявить заражение.
Чтобы помочь нашим штатным администраторам, мы обратились за помощью к независимой компании по обеспечению безопасности, предоставив им детальный отчёт о случившемся. На данный момент анализ произошедшего еще не завершён.
Пароли для доступа в панель Robot хранятся в нашей БД в виде SHA256-хэша с солью. В качестве меры предосторожности, мы рекомендуем сменить ваши пароли в Robot.
Что касается кредитных кард — то мы храним лишь три последних цифры номера карты, её тип (MasterCard, Visa, etc. — прим. пер), и дату её действия. Вся остальная информация хранится у нашего поставщика платёжных услуг, и связана с нашими системами через случайно сгенерированный номер карты. Таким образом, насколько мы можем судить, данные по кредитным картам скомпрометированы не были.
Технические инженеры Hetzner непрерывно работают над локализацией существующих брешей в защите, равно как и над предотвращением возникновения новых, чтобы обеспечить максимально возможную безопасность наших систем и инфраструктуры. Безопасность данных для нас очень важна. Для ускорения дальнейшего раследования, мы обратились в соответствующие правоохранительные органы.
Более того, мы постоянно находимся на связи с федеральным управлением криминальной полиции (Federal Criminal Police Office, BKA — прим. пер.).
Как само собой разумеющееся, мы будем держать вас в курсе событий и сообщать обо всей новой информации.
Мы очень сожалеем о случившемся, и благодарим вас за понимание и доверие.
Для того, чтобы помочь вам с запросами по безопасности, мы разместили специальную страницу с вопросами и ответами — wiki.hetzner.de/index.php/Security_Issue/en.
В конце прошлой недели технические инженеры Hetzner обнаружили т.н. бэкдор в одной из наших внутренних систем мониторинга (Nagios).
Немедленно начатое расследование показало, что интерфейс администрирование для выделенных серверов (Robot) также был скомпрометирован. Имеющаяся у нас на данный момент информация предполагает, что часть нашей базы данных по клиентам была скопирована извне.
Как следствие, мы сообщаем, что клиентская информация, хранившуюся в Robot, следует считать скомпрометированной.
Насколько мы знаем, зловредная программа, которую мы обнаружили, является неизвестной и ранее нигде не появлялась.
Зловредный код, примененный в бэкдоре, заражает исключительно RAM. Первичный анализ предполагает, что зловредный код непосредственно внедряется в запущенные процессы Apache и sshd. Таким образом, вирус не только не изменяет бинарные файлы сервисов, которые он поразил, но и не перезапускает их.
Благодаря этому, стандартная процедура, как, например, изучение чексумм или проверка при помощи утилиты rkhunter, не способна выявить заражение.
Чтобы помочь нашим штатным администраторам, мы обратились за помощью к независимой компании по обеспечению безопасности, предоставив им детальный отчёт о случившемся. На данный момент анализ произошедшего еще не завершён.
Пароли для доступа в панель Robot хранятся в нашей БД в виде SHA256-хэша с солью. В качестве меры предосторожности, мы рекомендуем сменить ваши пароли в Robot.
Что касается кредитных кард — то мы храним лишь три последних цифры номера карты, её тип (MasterCard, Visa, etc. — прим. пер), и дату её действия. Вся остальная информация хранится у нашего поставщика платёжных услуг, и связана с нашими системами через случайно сгенерированный номер карты. Таким образом, насколько мы можем судить, данные по кредитным картам скомпрометированы не были.
Технические инженеры Hetzner непрерывно работают над локализацией существующих брешей в защите, равно как и над предотвращением возникновения новых, чтобы обеспечить максимально возможную безопасность наших систем и инфраструктуры. Безопасность данных для нас очень важна. Для ускорения дальнейшего раследования, мы обратились в соответствующие правоохранительные органы.
Более того, мы постоянно находимся на связи с федеральным управлением криминальной полиции (Federal Criminal Police Office, BKA — прим. пер.).
Как само собой разумеющееся, мы будем держать вас в курсе событий и сообщать обо всей новой информации.
Мы очень сожалеем о случившемся, и благодарим вас за понимание и доверие.
Для того, чтобы помочь вам с запросами по безопасности, мы разместили специальную страницу с вопросами и ответами — wiki.hetzner.de/index.php/Security_Issue/en.
