Hetzner - DokuWiki

Security Issue

Inhaltsverzeichnis

Sind meine Daten in der Administrationsoberfläche konsoleH auch betroffen?

Nein, nach aktueller Informationslage sind diese Daten nicht betroffen. Eine regelmäßige Erneuerung der Passwörter ist jedoch auch hier sinnvoll.

Können wir Sie telefonisch kontaktieren um weitere Fragen zu klären?

Auf Grund des erhöhten Anfrageaufkommens bitten wir Sie, von telefonischen Anfragen Abstand zu nehmen und uns per Email zu kontaktieren.

Wie sieht es mit Bankdaten (Lastschrift) aus? Sind diese kompromittiert?

Bankdaten liegen verschlüsselt (2-Wege) in der Datenbank. Allerdings ist nicht auszuschliessen, dass der/die Angreifer auch Zugriff auf den Schlüssel erlangen konnten.

Wie kann ich meine Zugangsdaten für die Weboberflächen ändern?

Siehe bitte: Zugangsdaten ändern

Haben die Angreifer jetzt mein Kennwort?

Nein, die Kennwörter in unserer Datenbank sind nicht im Klartext, sondern nur als Hash mit Salt gespeichert. Die Angreifer können aber per Brute-Force versuchen das Kennwort zu erraten. Dabei ist die Länge Ihres Kennworts von entscheidender Bedeutung. In jedem Fall ist es aber ratsam, das Kennwort im Robot zu ändern, sowie auf allen Seiten, auf denen Sie bisher das gleiche Kennwort verwenden.

Sind die Hetzner Mirrors kompromittiert?

Nein, die Hetzner Mirrors (für Debian/Ubuntu) sind nicht betroffen. Die Mirrors werden regelmäßig frisch von den offiziellen Mirrors synchronisiert. Hierbei sind alle Teile signiert und die Paketverwaltung Ihres Systems überprüft die Signaturen der Paketbetreuer vor der Installation, wodurch eine Manipulation sofort auffallen würde. Andere Standardimages (OpenSuSE/CentOS) nutzen für Updates externe Mirrors. Auch hier kommen Signaturen zum Einsatz, die eine Manipulation sofort erkennen lassen.

Wie kann ich feststellen ob auch mein Server von dem gleichen Angriff betroffen ist?

Aktuell kann keine Empfehlung ausgesprochen werden. Im Zuge der Emittlung ist die Analyse des Vorfalls im vollen Gange. Um die Ermittlungen nicht zu gefährden, können zum jetzigen Zeitpunkt keine weiteren Informationen oder Empfehlungen bekannt gegeben werden.

Wie kann ich einen Schadcode-Befall feststellen?

Der Schädling kann z.B. wie folgt aufgefunden werden:

- Speicherdump des SSHD erstellen
- Strings über den Dump ausführen
- Nach spezifischen Zeichenketten suchen

Falls das System mit dem Rootkit befallen ist, findet man u.a. folgende Strings im dump:

key=xxx
dhost=xxx
hbt=3600
sp=xxx
sk=xxx
dip=xxx

also z.B:

code:

1: aptitude install gdb 
2: gdb --pid=`ps ax|grep "\/usr\/sbin\/sshd"|cut -d" " -f1`
3: > gcore
4: > quit
5: strings core.XXXXX |grep "key="
6:

Tools wie z.B. von http://secondlookforensics.com/ sollten die Backdoor auch entdecken können.



© 2014. Hetzner Online AG. Alle Rechte vorbehalten.