19:08
6/10/2011

Hetzner – włamanie do serwerowni

Jedna z największych serwerowni (z której infrastruktury korzysta sporo polskich hostingów) poinformowała swoich klientów o włamaniu. Atakujący mogli uzyskać dostęp do danych klientów.

Atak na Hetzner

Szczegóły włamania nie są jeszcze znane, ale Hetzner nie wyklucza, że atakujący mogli uzyskać dostęp do danych klientów i prosi by zmienili oni wszelkie hasła dostępowe. Do włamania miało dojść w środę 5 października.

Hetzner hacked

Hetzner hacked?

UWAGA! Ten incydent powinien zaniepokoić nie tylko bezpośrednich klientów Hetznera, ale również klientów polskich firm hostingowych — część z nich korzysta bowiem z infrastruktury Hetznera sprzedając dostęp pod swoją marką…

P.S. Na dzień dzisiejszy żaden z naszych klientów, którzy korzystają z usług Hetznera nie odnotował podejrzanej aktywności na swoich serwerach. Jeśli trzymacie swoje maszynki w Hetznerze, dajcie znać, jak wygląda to u Was.

via asq i Grzegorz

Przeczytaj także:

31 komentarzy

Dodaj komentarz
  1. Kilka maszyn sprawdzonych i wszystko ok. Z tego co czytam włamanie dotyczy tylko wirtualek i panelu zarządzania kontem (Robot). Dedyków nie ruszyli…

  2. Z dużej chmury mały deszcz ;)

  3. Tak, “tylko” mając dostęp do robota mogą prosić o np. zamontowanie rescue, zrestartowanie, zaoranie maszyny z nowym systemem itd.

    • Tylko żadna z tych akcji z tego co wiem nie jest realizowana automatycznie. Wydaje mi się, że po takiej wpadce będą dodatkowo potwierdzać takie requesty.

    • akcje są w pełni zautomatyzowane, można wejść w rescue mode, Reverse DNS entry zmienic, poprzycinac transfery per IP do np. 1MB/miesiecznie, restartowac w kolko server i jest takze funcja VNC – nie sprawdzana, ale w teorii umozliwia wejscie w live system

  4. u mnie wszystko ok, ale robot działa jakby chciał a nie mógł :)

  5. Robot jest mocno obciążony. U mnie wszystko OK.

  6. elNino: Z tego co wiem to reset (poza tym jednym rodzajem kiedy wołasz technika by zrestartował maszynę) i rescue nie wymagają ich ingerencji i dzieją się automatycznie (o ile to możliwe).

    • ale restart maszyny jest dosyć łatwo zauważyć ;). W wypadku dedyku bardziej martwiłbym się o kradzież danych z backupu.

  7. OVH Rulez ;]

    • Ale Hetznera poleca Torsten :)

    • I Dennis!

  8. Hetzner za pośrednictwem vihostu – brak jakichkolwiek informacji nt włamania.
    Panel sprawny, vps też nie ruszany raczej. Jedynie chinole próbują się łączyć z ftp, no ale to od kilku dni 0_o.
    Pass i tak warto zmienić.

    • W sumie nie powiązałem tej sprawy wcześniej…
      9 września miałem nieziemskie lagi do swojego serwera, jak bok potem napisał – trwały ataki na serwer i cośtam zrobili z tym i się poprawiło., przy okazji problemy z łączeniem się z panelem itd.. trochę pasuje do tego postu.
      Teraz to samo: serwer laguje i podumiera mi od ponad doby, teraz po prostu zdechł i nie chce wstać. Powtórka z rozrywki?

      Zniechęca mnie taka oferta nieco..

  9. XANi: Jeśli usług nie masz w rc to owszem, da się to odczuć ;) Hetzner też wysyła mailing nt. takich operacji ale co z tego jeśli nie ma jak na to zareagować ? Z tego co pamiętam to w rescue możesz sobie podmontować partycję itd. i stamtąd próbować wyssać dane. Ofc, to tzw. one-shot ale dość spory.

  10. U nasz wszystko 2 serwerki EQ4

  11. U nas wszystko dokładnie posprawdzane. Wszystkie serwery przeczesane jak trzeba.
    Żadnych niepożądanych logowań nie odnotowaliśmy. No ale teraz stan podwyższonej gotowości.

    Co do waszych spekulacji odnośnie możliwości wykradnięcia danych to potwierdzam, że jeżeli ktoś chciałby to zrobił by to bez problemu. (Oczywiście o ile administrator by spał).
    Z panelu robot hetznera, można pod montować “system rescue”, następnie już tylko mount i ewentualnie chroot. Dostęp do danych jak na tacy.

    W zasadzie zacząłem się teraz zastanawiać, dlaczego do takich czynności nie ma tam żadnej autoryzacji w postaci chociażby wysyłanego maila.

  12. taaa… reset hasła i:
    your password is too long (maximum 16 characters)
    kolejna próba generownia hasła i:
    Invalid characters
    Allowed are: A-Z 0-9 ! ” § $ % & / ( ) – = +

    • a po zmianie hasła radosny komunikat:

      The server encountered an internal error or misconfiguration and was unable to complete your request.
      Please contact the server administrator, webmaster@robot.your-server.de and inform them of the time the error occurred, and anything you might have done that may have caused the error.
      More information about this error may be available in the server error log.

  13. Ja też mam tam pare maszynek i wszystko jest ok.
    IMO zachowali się dosyć w porządku, a jeszcze mają dosłać szczegółowe informacje o włamie jak będą coś wiedzieli.

  14. U mnie też wszystko ok, ale sytuacja zaskakująca… Ciekaw jestem jak przechowują dane kart kredytowych – przecież w Hetznerze można kartami płacić w taki sposób, że dane karty podaje się tylko raz, więc takie dane gdzieś muszą być przechowywane.

    • October 6, 2011 8:31:00 PM CEST We receive more and more questions if credit card data are affected. Because credit card payments are handled by an external service provider, and we therefore do not save these data, there is no danger of abuse. za: http://www.hetzner-status.de/en.html

    • nie oni, tylko firma zewnętrzna przechowuje te dane, więc są bezpieczne.
      doczytaj info na stronie hetznera.

  15. U mnie też ok nie wygląda,żeby były problemy.

  16. Maszyna z której tam korzystam dokładnie 5 tj. w dzień w jaki w/g Hetnzera dokonano włamu – przestała odpowiadać. Trzeba było ją restartować przez panel. Niestety w panelu nie ma żadnych logów dot. tego jakie operacje były wykonane na koncie. Teraz (po informacji z Hetnzera) się zastanawiam, czy to był przypadek, czy rzeczywiście ktoś aktywował rescue. Jeśli to drugie to pytanie czy to był czysty wandalizm, czy coś więcej… Chyba jednak otworzę zgłoszenie.

  17. Ha, właśnie, tak to jest w tym nowoczesnym świecie chmur i zdalnych dostępów, że nawet mając superszczelne systemy zostawiamy furtkę w postaci jednego hasła, które może posłużyć do zaorania naszych maszyn. Pisałem o tym zjawisku niedawno w interaktywnych: http://interaktywnie.com/index/index/?file=raport_internet_software_house_2011.pdf

  18. a tutaj link http://www.google.com/safebrowsing/diagnostic?site=http://www.pizzastation.pl/hl=pl google ostrzega przed stroną hostowaną na serwerach hetznera i jakichś 3 żyjątkach, na szczęście tylko na stronie pizzerii a nie w pizzy. Smacznego!

  19. @avallash robale na pizzastation zauważyliśmy w poniedziałek, więc wygląda na to że nie jest powiązane z włamem. Wygląda też ze skrypty są już usunięte. BTW. Mają fajną pizzę z mandarynkami.

  20. Niemiecka “dokładność” he he

  21. Niemiecka dokładność skończyła się kiedy okazało się, że z mojej karty płatniczej po tej akcji zaczęła ginąć kasa (680 euro w jakichs lottomatach) . moje maszynki zabrałem do kraju i teraz spokojnie pracują w DataHouse.pl

  22. Ja, po zauwazeniu jakie metody marketingowe wykorzystuje firma datahouse.pl stwierdzilem, ze nigdy nie chce miec z nia do czynienia :).

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.