Вечером 6 июня немецкая хостинг-компания Hetzner разослала письмо своим клиентам с уведомлением о инциденте с безопасностью.
Неделю назад сотрудники Hetzner обнаружили неизвестный бэкдор в одной из внутренних систем мониторинга (Nagios). Немедленно было организовано расследование, которое выявило, что скомпрометирован также интерфейс управления выделенными рут-серверами (Robot), а фрагмент клиентской базы данных скопирован на удаленный узел.
Пароли пользователей хостера хранятся в виде хэшей SHA256 с солью. Естественно, на всякий случай клиентам лучше обновить пароли.
Кроме паролей, в скомпрометированной базе данных была частичная информация о платежных картах: три последние цифры номера карты, тип карты и дата окончания действия.
Вышеупомянутый бэкдор не детектировался антивирусными системами и, судя по всему, этот образец вредоносного кода встречается впервые. Компания сообщает некоторые технические подробности о том, что бэкдор живет исключительно в RAM, напрямую внедряясь в процессы Apache и sshd. Бэкдор не меняет и не записывает никаких бинарных файлов на диске и не перезапускает сервисы.
Специалисты Hetzner сообщают, что стандартными способами такие бэкдоры обнаружить невозможно. Сейчас они обратились за помощью к сторонней компании, которая специализируется на информационной безопасности, чтобы провести более тщательный аудит malware и оценить масштабы ущерба. Вероятно, результаты аудита будут опубликованы в открытом доступе.
В связи со случившимся, компания Hetzner подала заявление в полицию.