Hetznerがシステムでのバックドア検出を発表

Hetznerは、すべての専用ホスティングクライアントに大量のメールを送信し、ネットワーク上でバックドアが見つかり、Robot Webパネルに格納されているすべての情報(クレジットカード情報など)ただし、被害はありませんでした)。



手紙によると、マルウェアはNagios監視システムの穴から会社のネットワークに入り、バイナリ自体を変更せずにApache Webサーバーとsshd(ターミナル)の実行中のプロセスにヒットしました。 技術者によると、彼らは以前にこのようなことは一度もなかった。



インシデントを評価するために、別のセキュリティ会社が雇われ、ローカル管理者が何が起こったのかを把握し、マルウェアのすべてのコピーのネットワークを完全にクリアできるように支援しました。 すべての管轄当局に通知されたが、調査はまだ完了していない。



翻訳メーリングリスト
親愛なる顧客



先週の終わりに、Hetznerの技術エンジニアは、いわゆる 内部監視システムの1つ(Nagios)のバックドア。



すぐに調査が開始され、専用サーバー(ロボット)の管理インターフェイスも侵害されました。 現在入手している情報は、顧客データベースの一部が外部からコピーされたことを示唆しています。



その結果、Robotに保存されているクライアント情報が危険にさらされていると見なされるべきであると報告しています。



私たちが知る限り、私たちが発見した悪意のあるプログラムは未知であり、かつて出現したことはありません。



バックドアで使用される悪意のあるコードは、RAMのみに感染します。 初期分析では、悪意のあるコードが実行中のApacheおよびsshdプロセスに直接注入されることが示唆されています。 したがって、ウイルスは感染したサービスのバイナリファイルを変更するだけでなく、再起動もしません。



このため、チェックサムの検査やrkhunterユーティリティによるチェックなどの標準的な手順では、感染を検出できません。



フルタイムの管理者を支援するため、独立したセキュリティ会社に支援を求め、何が起こったのか詳細なレポートを提供しました。 現時点では、何が起こったかの分析はまだ完了していません。



Robotパネルにアクセスするためのパスワードは、塩を含むSHA256ハッシュとしてデータベースに保存されます。 予防策として、Robotでパスワードを変更することをお勧めします。



クレジットカードに関しては、カード番号の最後の3桁、タイプ(MasterCard、Visaなど-約Per)、および有効期限のみを保存します。 他のすべての情報は、支払いサービスプロバイダーに保存され、ランダムに生成されたカード番号を介してシステムに接続されます。 したがって、私たちが知る限り、クレジットカードの詳細は侵害されませんでした。



Hetznerの技術エンジニアは、既存のセキュリティホールをローカライズするとともに、システムとインフラストラクチャの最大限のセキュリティを確保するために新しいセキュリティホールの出現を防ぐために絶えず取り組んでいます。 データのセキュリティは私たちにとって非常に重要です。 さらなる調査を促進するために、適切な法執行機関に頼りました。



さらに、私たちは常に連邦刑事警察署(BKA-約Per。)と連絡を取り合っています。



当然のことながら、私たちはあなたを最新の状態に保ち、すべての新しい情報を報告します。



私たちは何が起こったか非常に残念であり、あなたの理解と信頼に感謝します。



セキュリティに関する問い合わせを支援するために、質問と回答のある特別なページ-wiki.hetzner.de/index.php/Security_Issue/enを投稿しました
(オリジナル-pastebin.com/czHJDtif



All Articles