Kundendaten von Hetzner kompromittiert

Dieses Thema im Forum "Ankündigung" wurde erstellt von Cabraca, 6. Juni 2013.

  1. Cabraca
    Online

    Cabraca

    Nach aktuellen Informationen von Hetzner wurde ein Backdoor-Programm auf den Verwaltungsservern gefunden.
    Offenbar wurden Kundendaten nach extern kopiert weshalb alle Kundendaten im Robot als Kompromittiert betrachtet werden müssen. Alle Kunden von Hetzner sollten ihre Daten prüfen und Passwörter im Hetzner Robot ändern.

    Genauere Infos gibts im Hetzner Kundenforum.
     
    #1
  2. Chrisliebaer
    Online

    Chrisliebaer

    Ouch! Das ist böse. Theoretisch könnten somit auch alle Roots kompromittiert sein, wer Zugriff auf das Robot hat kann über das Recovery-System frei auf den Roots rumspielen.

    Von daher meine Empfehlung: Geht einfach davon aus, dass euer Root nun geknackt ist. Theoretisch käme auch ein check der uptime in Frage, wobei das eben alles nicht wirklich sicher ist.


    Ausgenommen wären hier nur Systeme, die mit dm-crypt verschlüsselt waren, allerdings sollten diese Admins alle unverschlüsselten Codes nichtmehr ausführen (was den Bootloader behinhaltet). Am geeignetesten ist es, den Server NICHT normal zu booten, sondern über Recovery den gesamten unverschlüsselten Code zu ersetzten.

    Damit wäre ja wohl geklärt, warum es auch Sinn macht einen Rootserver zu verschlüssln (und das Passwort über ne LARA-Console einzugeben).


    Hier der Wortlaut der E-Mail
     
    #2
  3. jemall
    Offline

    jemall

    Registriert seit:
    19. Januar 2012
    Beiträge:
    263
    Ort:
    Kaiserstuhl
    Minecraft:
    CaDo257
    Ach du heiliges Kanonenrohr!

    Vielen Dank!!!
     
    #3
  4. ps3fan90
    Offline

    ps3fan90

    Registriert seit:
    9. November 2011
    Beiträge:
    51
    Ort:
    /home
    Minecraft:
    ps3fan90
    Schei*d*s ich bin betroffen -.- Schnell meine Daten ändern
     
    #4
  5. Chrisliebaer
    Online

    Chrisliebaer

    Das bringt nichts, falls jemand es auf deinen Server abgesehen hatte. Die wären dann bereits im System. Das einzige, das abhilfe schafft ist eine Neuinstallation des Servers.
     
    #5
  6. Wolfi15
    Offline

    Wolfi15

    Registriert seit:
    4. November 2011
    Beiträge:
    599
    Minecraft:
    Wolfi15
    Wie ist das mit "dedizierten Servern" (Robot).
    Kann mir das mal kurz einer erklären welche Server damit gemeint sind?...
     
    #6
  7. Chrisliebaer
    Online

    Chrisliebaer

    Genaue Infos hat Hetzner dazu nicht, die checken aktuell selbst noch die Lage. Für Hetzner typisch haben sie jedoch recht schnell zumindest das öffentlich gemacht, was sie bereits wissen.

    Die Verwaltungsserver von Hetzner wurden betroffen. Darunter scheinbar auch das Robot (die Verwaltungsoberfläche für die Rootserver). Da es über das Interface möglich ist den Server in den Recoverymodus zu schicken, könnte man also Problemlos auf den Server zugreifen. Das würde sich lediglich durch einen kurzen Ausfall von vielleicht 5 Minuten bemerkbar machen. Wenn die Hacker drauf aus sind, könnte man auch automatisiert die Logs modifizieren und die Uptime wieder korrekt einstellen.

    Das ist natürlich ein sehr abstraktes Angriffsmuster, da die Gefahr sehr groß gewesen wäre, dass es auffliegt, aber es ist halt grundsätzlich möglich.
     
    #7
  8. Wolfi15
    Offline

    Wolfi15

    Registriert seit:
    4. November 2011
    Beiträge:
    599
    Minecraft:
    Wolfi15
    Ah ok :D

    Habe eben mal den Kundensupport angeschrieben, laut Support wurden die Robot Server eben neugestartet oder so...

    Denn bei uns waren sie für 5 Minuten kurz nicht erreichbar... naja zum Glück gehts unseren Servern gut :D
     
    #8
  9. Zahl
    Offline

    Zahl

    Registriert seit:
    10. Juli 2011
    Beiträge:
    214
    Halte ich für sehr unwahrscheinlich, zumindest wenn man deren Aussage glauben kann, dass die Passwörter gesalzen mit SHA256 gehasht gespeichert wurden. Wenn man sein Robot-PW nun schnell ändert und nicht grad 12345 als Passwort hatte sollte man recht sicher sein.
    Bei mir passt jedenfalls die Uptime und es laufen auch die paar Sachen, die ich immer manuell starte und auch kein explizites Startscript haben. Erfüllt für mich das Kriterium "recht sicher"; so viel Mühe wird sich kaum ein Angreifer gemacht haben. Dass die jetzt meine Bankdaten haben, finde ich dagegen viel ärgerlicher.

    Kann mich übrigens der Meinung von fefe über den Vorfall anschließen - sie legen die Karten auf den Tisch und versuchen das nicht zu vertuschen.
     
    #9
  10. Chrisliebaer
    Online

    Chrisliebaer

    Dein Passwort bringt dir gar nichts, wenn jemand die Mühle runterfährt und dann über das Recovery einfach deine sshd binary modifiziert. Les bitte nochmal genau, was Hetzner schreibt. Das Robot wurde übernommen, darüber kannst du jeden Server in den Recoverymodus schicken und der interessiert sich nicht im geringsten für dein Passwort.

    Und natürlich isses net, dass sie gleich informieren, sollte aber auch selbstverständlich sein.
     
    #10
  11. Cabraca
    Online

    Cabraca

    Was die Uptime ändern würde. Wenn also die Uptime in Ordnung ist und auch sonst nix auffällig würde ich das zwar in der nächsten Zeit im hinterkopf behalten aber nicht direkt überreagieren. Bruteforce mal nen SHA256 inkl. Salt. Wie Zahl schon sagte: wenn du nicht grad 12345 nimmst sollte das alles wenig problematisch sein. Und das von Fefe unterschreib ich auch.
     
    #11
  12. fstingl
    Offline

    fstingl

    Registriert seit:
    9. Januar 2012
    Beiträge:
    64
    Minecraft:
    fstingl
    Ich bin mal gespannt wieviele Kunden es im Endeffekt wirklich waren. Bzw. ob man das je erfahren wird. Würde schon gerne wissen ob ich wirklich dabei bin^^
     
    #12
  13. C64
    Online

    C64

    Recoverymode erzwingt logischerweise einen Reboot. Selbst wenn man die für die Angreifer bekannten Zeitstempel manipuliert, sind immer noch (m.M.n) kundenspezifische Besonderheiten vorhanden, die bei einem externen Zugriff dann auffällig werden. Wie benannt Dienste, die nur manuel gestartet werden; Logfiles, die nichts mit dem Hostgrundbetrieb zu tun haben; Monitoring, welches mit Mails um sich schmeißt wenn gewisse Ports oder sogar der Host selbst unerreichbar ist u.v.m.

    Ich finde die Reaktion vom Betreiber gut und richtig, inkl. der Aufforderungen, die Daten zu ändern. Aber gleich einen Kriegsschauplatz reininterpretieren finde ich abstrus. Sollten unter diesen Umständen Hostsysteme betroffen sein und der Eigentümer merkts auch nicht, dann bringt auch die Warnung des Betreibers nichts.
     
    #13
  14. TheCookie
    Offline

    TheCookie

    Registriert seit:
    17. März 2013
    Beiträge:
    17
    Schon krass zuhören das es ausgerechnet auch mal das so krass sicher und gute angezweifelte Hetzner erwischt hat.
    Aber es gibt halt immer leute die Langeweile haben und anderen Leuten schaden müssen.
     
    #14
  15. jemall
    Offline

    jemall

    Registriert seit:
    19. Januar 2012
    Beiträge:
    263
    Ort:
    Kaiserstuhl
    Minecraft:
    CaDo257
    Also wirklich exakt seit dem Angriff habe ich mehrmal am Tag einen Neustart ohne Crash oder sonstige Fehler in der Log...

    2013-06-12 17:50:26 [INFO] CONSOLE: Forcing save..
    2013-06-12 17:50:26 [INFO] CONSOLE: Save complete.
    2013-06-12 17:50:27 [INFO] [Server] **SERVER IS SHUTTING DOWN**
    2013-06-12 17:50:33 [INFO] CONSOLE: Stopping the server..
    2013-06-12 17:50:33 [INFO] Stopping server

    Dies ist alles was die Log kurz vor dem Neustart ausgibt!
    Es würde mich nicht soooo arg stören, würde Spacebukkit nach dem Neustart noch funktionieren.
    Aber mein Port kann dann aus irgendeinem Grund nicht angepingt werden und die "Salt" kann nciht gecheckt werden!

    Hat sonst jemand von euch noch Probleme??


    PS: Habe alle PWs geändert!
     
    #15