Hetzner gehackt, Kundendaten kopiert

schlitzerschienen bei heise

 

Julius-Hensel-Blog ist bei heise gehostet…

alles Gute auch dorthin

 

Die Webhoster Hetzner wurde Opfer eines Hackerangriffs, bei dem Unbekannte auch Kundendaten kopiert haben. Die Eindringlinge hatten unter anderem Zugriff auf Passwort-Hashes und Zahlungsinformationen. Bei dem Angriff soll ein bislang unbekanntes Server-Rootkit zum Einsatz gekommen sein.

In einer Mail an seine Kunden erklärte das Unternehmen am Donnerstagnachmittag, dass Unbekannte mehrere Hetzner-Systeme kompromittiert haben. Der Vorfall sei bereits Ende vergangener Woche entdeckt worden. Dabei fiel dem Hoster zunächst eine Backdoor in einem seiner Nagios-Überwachungsserver auf. Bei der anschließend eingeleiteten Untersuchung wurde klar, dass auch die Robot genannte Verwaltungsoberfläche für dedizierte Server kompromittiert wurde. Die Eindringlinge haben auf die dort gespeicherten Kundendaten zugegriffen.

Wie viele Kunden davon betroffen sind, könne man „technisch noch nicht bewerten“, wie Martin Hetzner gegenüber heise Security sagte. In der Robot-Datenbank sind auch Zahlungsinformationen gespeichert, wie etwa Bankdaten von Kunden, die per Lastschrift bezahlen. Diese seien zwar asymmetrisch verschlüsselt, allerdings kann der Hoster derzeit nicht ausschließen, dass auch die zur Entschlüsselung notwendigen privaten Krypto-Schlüssel kopiert wurden. Darüber hinaus hatten die Angreifer Zugriff auf Kreditkartendaten (die letzten drei Ziffern der Kreditkartennummer, das Ablaufdatum sowie der Kartentyp) und gesalzene SHA256-Passwort-Hashes.

Hetzners Angaben zufolge handelt es sich um einen Angriff auf ungewöhnlich hohem technischen Niveau: Es soll sich um eine bislang unbekanntes Rootkit handeln, die keine Dateien auf der Festplatte berührt. „Stattdessen werden bereits auf dem System laufende Prozesse gepatcht und der Schadcode direkt in das Ziel-Prozessimage injiziert“, erklärte Martin Hetzner. Das Rootkit soll den OpenSSH-Daemon und Apache im Arbeitsspeicher manipuliert haben. Dies geschah anscheinend nahtlos ohne Neustart der Dienste. Prinzipiell sei das Rootkit vermutlich auch dazu in der der Lage, ProFTPD zu manipulieren. Berichte über Angriffe, bei denen Daemons wichtiger Programme manipuliert werden, häufen sich derzeit. Dass die Manipulation jedoch nur im Arbeitsspeicher vorgenommen wird, scheint neu zu sein.

Laut Martin Hetzner wurden die manipulierten Apache-Instanzen nach derzeitigem Kenntnisstand nicht zur Verbreitung von Malware missbraucht. Wer hinter dem Angriff steckt, ist derzeit noch unklar. Auch wie die Hacker in die Server eingestiegen sind, muss noch geklärt werden. Die Hosting-Firma gibt an, bereits das BKA eingeschaltet zu haben.

Quelle: heise

 

6 Gedanken zu „Hetzner gehackt, Kundendaten kopiert

  1. Nun, wir wußten auch von dem Besuch Deines Blog, es kann nur einer dahinter stecken! Vergleiche mit dem Bundestrojaner und auch die Betreiber unter Druck zu setzen an Stammdaten der Blogger und Internetnutzer weiter zu geben, siehe auch an die Terrorbekämpfungsorganisationen die sich nun auch nur noch in privaten Händen der NWO befinden, machen es dann auch schwer, dem Internet seine Freiheiten zu belassen!
    Fast Stunden brauchte man, in Deinem Blog zu schreiben, siehe Verbindungsaufbau und auch Datenübertragung, wo dann keine Daten getragen, aber gesendet wurden an etliche andere Server brachten dann auch den sichtbaren Beweis – hier wird eine Schleife aufgebaut. Denkbar ist es auch, Deinen Blog zu behindern und Dich zu provizieren, wie auch an Deine Kontakte heran zu kommen! Ich betrachte das als Medienkontrolle und auch Einschränkung aller Deiner Freiheiten im Netz! Erfahrungsberichte liegen seit Jahren aus China vor, Russland macht es auch und seit Schröder und seiner Kanzlerschaft beginnt ja auch der Gesinnungsterror, in dem man auch sehr schnell zu einem Rechten wurde, in dem man auch sehr schnell verleumdet wurde! Aber siehe MADRID, es darf wieder und auch über Nationalsozialismus und Geschichte geschrieben werden und auch fast alles gelesen werden!
    Relativ böse werden ja alle Elli Wieselfan´s, wenn man denen auch deren Lügen abspricht, siehe dessen Vergangenheit in einem KZ, erlogen war! Klar auch, das man nicht gerne liest, bei Dir, Wahrheiten über Syrien und dem Erleben der NWO!
    Danke also für Deinen Blog und bleibe tapfer. Glück Auf, meine Heimat!

  2. @SFD

    Ein bißchen sehr paranoid, wie ich finde. Jeder Blogbetreiber kann seine Datenbanken sichern, alle Artikel speichern und zuletzt auch sein individuellen WordPress Themen. Das kostet an Speicher gerade mal ein paar MB. Und auch an die Kontakte/Kommentatoren kann unsere Groß-KZ OMF-BRD jederzeit herankommen, ich erinnere da mal an die Bestandsdatenauskunft.
    Im übrigen surfen viele Internetbenutzer mit allen Plugins in ihren Browsern herum und geben schon allein deswegen all ihre Daten bekannt. Selbst mit ausschalten Flash können php-Statistiken jede Menge Daten sammeln. Weiterhin hat der Hensel ein Impressum und gibt somit schon all seine Daten preis, alle .de Domains sind unter denic.de registriert und für ein jeden einsehbar. Und so weiter und so fort. Jeder der eine Internetseite hostet ist Vogelfrei.

    1. @ Raffael
      das Elend zieht sich schon über eine Woche hin – nicht nur das Lesen war schwierig, abends war es auch fast unmöglich, neue Beiträge zu erstellen.
      Nun ist alles etwas „verbogen“…
      Reparatur erfolgt erst übers Wochenende, weil mein Tech-Support diese Woche Abi schreiben musste…
      Sorry für die Umstände und Danke für die Geduld an Alle!

  3. Sicherlich auch sehr interessant, die Verbindung der BRD GmbH zu den Besatzern, statt die zum eigenem ausgeraubten Volk des Deutschen Reiches:
    http://www.rp-online.de/politik/ausland/usa-barack-obamas-ueberwachungsstaat-20-1.3450865?utm_source=newsletter&utm_medium=email&utm_campaign=topnewsletter&utm_content=duesseldorf oder habt Ihr vergessen, das die BRD kein Staat ist, sie selber sich als nichtregierung bezeichnet und hier mit Rechtebruch das Deutsche Recht verbiegt?
    Glück Auf, meine Heimat und lieber John, nicht aufhören, denn wir brauchen Dich in der Aufklärung!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.