forum.opennet.ru

Составление сообщения

Исходное сообщение

"Хостинговая компания Hetzner уведомила клиентов о обнаружени..."
Отправлено opennews, 07-Июн-13 09:43

Известная немецкая хостинговая компания Hetzner обнаружила (https://pay.reddit.com/r/netsec/comments/1fsuqm/hetzner_tech.../) взлом своих систем и зафиксировала (http://wiki.hetzner.de/index.php/Security_Issue/en) размещение весьма труднообнаружимых бэкдоров на своих серверах. Взлом инфраструктуры был произведен с использованием руткита, обнаруженного инженерами компании во внутренней системе мониторинга, использующей Nagios (разработчики Nagios утверждают (http://www.mentby.com/Group/nagios-users/nagios-backdoor.html), что в Hetzner используется форк проекта - Icinga (https://www.icinga.org/)). В результате взлома атакующие потенциально могли получить доступ ко всем данным клиентов, указанным в панели управления, в том числе к хэшам паролей и информации о совершённых платежах.

Наиболее интересным моментом данной атаки является тот факт, что Rootkit поражает процессы Apache и sshd только в оперативной памяти. Файлы, хранящиеся на диске модификации не подвергаются, что делает невозможным обнаружение подобного типа вредоносного ПО средствами поиска руткитов типа rkhunter или путем сверки контрольных сумм файлов. Кроме того, процессы поражаются на лету и после модификации не перезапускаются, что дополнительно усложняет обнаружение подобной атаки. Отмечается, также то, что в рутките присутствовали функции для манипуляции ProFTPD.

В уведомлении (http://pastie.org/8015553), отправленном клиентам, компания отмечает, что пароли хранились с использованием SHA256 и солью, поэтому их подбор затруднён, тем не менее, несмотря на это, клиентам рекомендуется сменить пароли. Кроме того, утверждается, что данные кредитных карт скорее всего не пострадали, так как полный серийный номер карт не хранится на серверах компании, а хранятся только последние 3 цифры, а для взаимодействия с серверами платежной системы используется привязанный к карте случайный номер.
URL: http://www.heise.de/newsticker/meldung/Hetzner-gehackt-Kunde...
Новость: http://www.opennet.ru/opennews/art.shtml?num=37116

Исходное сообщение
"Хостинговая компания Hetzner уведомила клиентов о обнаружени..." Отправлено opennews, 07-Июн-13 09:43
Известная немецкая хостинговая компания Hetzner обнаружила (https://pay.reddit.com/r/netsec/comments/1fsuqm/hetzner_tech.../) взлом своих систем и зафиксировала (http://wiki.hetzner.de/index.php/Security_Issue/en) размещение весьма труднообнаружимых бэкдоров на своих серверах. Взлом инфраструктуры был произведен с использованием руткита, обнаруженного инженерами компании во внутренней системе мониторинга, использующей Nagios (разработчики Nagios утверждают (http://www.mentby.com/Group/nagios-users/nagios-backdoor.html), что в Hetzner используется форк проекта - Icinga (https://www.icinga.org/)). В результате взлома атакующие потенциально могли получить доступ ко всем данным клиентов, указанным в панели управления, в том числе к хэшам паролей и информации о совершённых платежах. Наиболее интересным моментом данной атаки является тот факт, что Rootkit поражает процессы Apache и sshd только в оперативной памяти. Файлы, хранящиеся на диске модификации не подвергаются, что делает невозможным обнаружение подобного типа вредоносного ПО средствами поиска руткитов типа rkhunter или путем сверки контрольных сумм файлов. Кроме того, процессы поражаются на лету и после модификации не перезапускаются, что дополнительно усложняет обнаружение подобной атаки. Отмечается, также то, что в рутките присутствовали функции для манипуляции ProFTPD. В уведомлении (http://pastie.org/8015553), отправленном клиентам, компания отмечает, что пароли хранились с использованием SHA256 и солью, поэтому их подбор затруднён, тем не менее, несмотря на это, клиентам рекомендуется сменить пароли. Кроме того, утверждается, что данные кредитных карт скорее всего не пострадали, так как полный серийный номер карт не хранится на серверах компании, а хранятся только последние 3 цифры, а для взаимодействия с серверами платежной системы используется привязанный к карте случайный номер. URL: http://www.heise.de/newsticker/meldung/Hetzner-gehackt-Kunde... Новость: http://www.opennet.ru/opennews/art.shtml?num=37116

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Известная немецкая хостинговая компания Hetzner обнаружила (https://pay.reddit.com/r/netsec/comments/1fsuqm/hetzner_technicians_discovered_a_backdoor_in_one/) 
> взлом своих систем и зафиксировала (http://wiki.hetzner.de/index.php/Security_Issue/en) 
> размещение весьма труднообнаружимых бэкдоров на своих серверах. Взлом инфраструктуры 
> был произведен с использованием руткита, обнаруженного инженерами компании во внутренней 
> системе мониторинга, использующей Nagios (разработчики Nagios утверждают (http://www.mentby.com/Group/nagios-users/nagios-backdoor.html), 
> что в  Hetzner используется форк проекта - Icinga (https://www.icinga.org/)). В 
> результате взлома атакующие потенциально могли получить доступ ко всем данным клиентов, 
> указанным в панели управления, в том числе к хэшам паролей и 
> информации о совершённых платежах.

> Наиболее интересным моментом данной атаки является тот факт, что Rootkit поражает процессы 
> Apache и sshd только в оперативной памяти. Файлы, хранящиеся на диске 
> модификации не подвергаются, что делает невозможным обнаружение подобного типа вредоносного 
> ПО средствами поиска руткитов типа rkhunter или путем сверки контрольных сумм 
> файлов. Кроме того, процессы поражаются на лету и после модификации не 
> перезапускаются, что дополнительно усложняет обнаружение подобной атаки. Отмечается, 
> также то, что в рутките присутствовали функции для манипуляции ProFTPD.

> В  уведомлении (http://pastie.org/8015553), отправленном клиентам, компания отмечает, 
> что пароли хранились с использованием SHA256 и солью, поэтому их подбор 
> затруднён, тем не менее, несмотря на это, клиентам рекомендуется сменить пароли. 
> Кроме того, утверждается, что данные кредитных карт скорее всего не пострадали, 
> так как полный серийный номер карт не хранится на серверах компании, 
> а хранятся только последние 3 цифры, а для взаимодействия с серверами 
> платежной системы используется привязанный к карте случайный номер.

> URL: http://www.heise.de/newsticker/meldung/Hetzner-gehackt-Kundendaten-kopiert-1884180.html 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=37116

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру