Hetzner gehackt, Kundendaten kopiert
Die Webhoster Hetzner wurde Opfer eines Hackerangriffs, bei dem Unbekannte auch Kundendaten kopiert haben. Die Eindringlinge hatten unter anderem Zugriff auf Passwort-Hashes und Zahlungsinformationen. Bei dem Angriff soll ein bislang unbekanntes Server-Rootkit zum Einsatz gekommen sein.
Quote:
In einer Mail an seine Kunden erklärte das Unternehmen am Donnerstagnachmittag, dass Unbekannte mehrere Hetzner-Systeme kompromittiert haben. Der Vorfall sei bereits Ende vergangener Woche entdeckt worden. Dabei fiel dem Hoster zunächst eine Backdoor in einem seiner Nagios-Überwachungsserver auf. Bei der anschließend eingeleiteten Untersuchung wurde klar, dass auch die Robot genannte Verwaltungsoberfläche für dedizierte Server kompromittiert wurde. Die Eindringlinge haben auf die dort gespeicherten Kundendaten zugegriffen.
Hetzners Angaben zufolge handelt es sich um einen Angriff auf ungewöhnlich hohem technischen Niveau: Es soll sich um ein bislang unbekanntes Rootkit handeln, das keine Dateien auf der Festplatte berührt. "Stattdessen werden bereits auf dem System laufende Prozesse gepatcht und der Schadcode direkt in das Ziel-Prozessimage injiziert", erklärte Martin Hetzner. Das Rootkit soll den OpenSSH-Daemon und Apache im Arbeitsspeicher manipuliert haben. Dies geschah anscheinend nahtlos ohne Neustart der Dienste. Prinzipiell sei das Rootkit vermutlich auch dazu in der der Lage, ProFTPD zu manipulieren. Berichte über Angriffe, bei denen Daemons wichtiger Programme manipuliert werden, häufen sich derzeit. Dass die Manipulation jedoch nur im Arbeitsspeicher vorgenommen wird, scheint neu zu sein.
Laut Martin Hetzner wurden die manipulierten Apache-Instanzen nach derzeitigem Kenntnisstand nicht zur Verbreitung von Malware missbraucht. Wer hinter dem Angriff steckt, ist derzeit noch unklar. Auch wie die Hacker in die Server eingestiegen sind, muss noch geklärt werden. Die Hosting-Firma gibt an, bereits das BKA eingeschaltet zu haben.
Quelle: Hetzner gehackt, Kundendaten kopiert | heise online
Hetzner war doch schon immer fragwürdig und hat nicht den besten Ruf. Damals waren viele 0815 Tracker auf deren Webservern gehostet und ich meine mich erinnern zu können das sie auch mal die Daten der User weitergegeben haben, bin mir aber nicht 100% sicher, weiß jetzt nicht ob das mit den OWH Servern in France zu tun hatte.
Daher sehe ich es auch eher prikär dass sie das BKA eingeschaltet haben...
mfg