pascallehall schrieb:
Nein, Hetzner nutzt zwar Nagios, scheinbar wurde aber die zuletzt bekannt gewordene Lücke im Apache2 Server genutzt, um sich zugriff auf z.b. den SSH Daemon zu beschaffen.
Es heisst in der E-Mail...
Ende letzter Woche haben Hetzner-Techniker eine "Backdoor" in einem unserer Überwachungssysteme (Nagios) entdeckt.
Das kann man schon so interpretieren, das dies die Lücke war, da steht nämlich nicht "mit ...".
Dann geht es weiter mit:
Die sofort eingeleiteten Untersuchungen zeigten, dass auch die Verwaltungsoberfläche für dedizierte Server (Robot) davon betroffen war.
Das war demnach das zweite Problem.
Dann kommen ein paar nicht ganz so spannende Infos bis zu:
Eine erste Analyse lässt vermuten, dass der Schadcode direkt im laufenden Apache- und sshd-Prozess eingeschleust wird. Dabei werden weder die Binaries des kompromittierten Dienstes modifiziert, noch wird der betroffene Dienst durch die Infektion neu gestartet.
Die Beschreibung läßt noch Raum zu Interpretationen wie es denn nun wirklich gelungen ist das System zu modifizieren.
Es kommen meiner Meinung nach nur Apache + Nagios (und ggf nicht genannte Verwaltungstools wie cPanel) in die engere Wahl.
Zum Thema informationsfluss, ist es war schön das Hetzner alle Kunden informiert, aber es ist offenbar auch schon eine Woche bis zu dieser E-Mail ins Land gegangen.
Es wäre aus meiner Sicht besser bei ersten konkreten Informationen sofort eine E-Mail an alle Kunden zu schicken und darauf hinzuweisen, das man noch bei der weiteren Analyse des Vorganges ist und sich schnellstmöglich mit weiteren Details meldet.
Was auch schnell vergessen wird: Die Kunden der Kunden von Hetzner haben ggf. auch ein Problem, wenn dort z.B. Shops mit weiteren Kundendaten liegen, die wenn man sich erst mal beim Hoster eingenistet hat ebenfalls gefährdet sind.
