Nieuws
image

Duitse webhoster Hetzner gehackt via RAM-rootkit

vrijdag 7 juni 2013, 16:47 door Redactie, 5 reacties

Het Duitse webhostingbedrijf Hetzner heeft klanten gewaarschuwd dat hun gegevens zijn buitgemaakt nadat er op verschillende servers zeer geavanceerde malware werd aangetroffen. In een bericht naar klanten stelt Hetzner dat technici van het bedrijf vorige week een backdoor in het Nagios monitoringssysteem ontdekten. Nagios wordt gebruikt voor het monitoren van servers.

Uit onderzoek bleek dat de beheerdersinterface voor de root-server ook was gehackt en er een deel van de klantendatabase was gekopieerd. "We moeten ervan uitgaan dat de klantgegevens die op onze server was opgeslagen is gecompromitteerd." De malware die de aanvallers gebruikten is volgens de hoster onbekend en zou nog nooit eerder zijn aangetroffen.

Geheugen
De kwaadaardige code die de backdoor gebruikt besmet alleen het RAM (werkgeheugen) en infiltreert direct draaiende Apache en sshd processen, zonder dat de binaire bestanden daarbij worden aangepast. Daardoor is de backdoor niet via traditionele methoden zoals het controleren van de checksum te vinden. Ook anti-rootkit programma's zoals rkhunter zouden de malware niet weten op te sporen.

Klanten krijgen het advies om hun wachtwoord te wijzigen, ook al waren de wachtwoorden gesalt en gehasht opgeslagen. Hetzner laat tegenover het Duitse Heise Security weten dat het nog niet duidelijk is hoeveel klanten slachtoffer zijn geworden.

Database
De klantendatabase bevat ook bankgegevens van klanten. Deze gegevens zijn asymmetrisch versleuteld, maar het valt op dit moment niet uit te sluiten dat de decryptiesleutel ook is gekopieerd. De aanvallers wisten ook toegang tot de creditcardgegevens te krijgen, zoals laatste drie getallen van het creditcardnummer, verloopdatum en kaarttype.

Reacties (5)
07-06-2013, 16:56 door mvh69
[admin] Inderdaad, thanks, typo verholpen [/admin]
07-06-2013, 18:04 door Anoniem
En nou maar hopen dat de spam vanaf de bij Hetzner gehoste servers nou wat minder wordt...

Waardeloze abuse handling policy hebben ze daar trouwens. Als je een rapport over een spammende klant
stuurt dan forwarden ze dat naar de klant met het verzoek om er commentaar op te leveren. Dat doet
die klant uiteraard niet, en de spam gaat gewoon door. Dan hoor je verder niks meer van Hetzner.
Maar nou weet die klant ook nog je abuse account dus nog meer adressen om te bespammen.

De klant gewoon afsluiten na geconstateerde herhaalde abuse dat kennen ze niet bij Hetzner. Lijkt wat dat betreft
veel op Leaseweb.
07-06-2013, 18:07 door 0101
Voor webservers is malware die alleen in het RAM draait erg geschikt; immers, om de continuïteit van de dienst te waarborgen kan zo'n server niet vaak opnieuw opgestart worden, waardoor de malware lang aanwezig blijft op de server. En dan is er natuurlijk ook nog het voordeel dat de meeste antivirusprogramma's alleen op de harde schijf naar malware zoeken en niet in het werkgeheugen.
07-06-2013, 19:03 door Anoniem
Tja daar heb je het weer,rkhunter is een ranzig programma,met ubuntu Linux niet eens fatsoenlijk bij te werken als je hem hebt geinstalleerd.
Ik heb geen antivirus op mijn laptop met Ubuntu staan.
Op mijn nieuwe Imac heb ik avast antivirus staan,want OSX wordt als op een na grootste besturingssysteem achter Windows gebruikt,dus vandaar dat ik deze preventie genomen heb.
09-06-2013, 23:36 door Anoniem
Ik (als klant van deze gasten) moet zeggen dat ik hun eerlijke communicatie wel waardeer. Heb na aanleiding van de eerste email nog wat vragen gesteld en netjes antwoord gekregen.

Het blijft klote maar partijen die net doen of er niets is is nog veel erger (denk Diginotar)
Ik maakte mij even zorgen over de aps source van hetzner maar aangezien debian zijn packages signed en ik alle keys kon verifieren heb ik dat ook maar los gelaten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search