Известная немецкая хостинговая компания Hetzner обнаружила (https://pay.reddit.com/r/netsec/comments/1fsuqm/hetzner_tech.../) взлом своих систем и зафиксировала (http://wiki.hetzner.de/index.php/Security_Issue/en) размещение весьма труднообнаружимых бэкдоров на своих серверах. Взлом инфраструктуры был произведен с использованием руткита, обнаруженного инженерами компании во внутренней системе мониторинга, использующей Nagios (разработчики Nagios утверждают (http://www.mentby.com/Group/nagios-users/nagios-backdoor.html), что в  Hetzner используется форк проекта - Icinga (https://www.icinga.org/)). В результате взлома атакующие потенциально могли получить доступ ко всем данным клиентов, указанным в панели управления, в том числе к хэшам паролей и информации о совершённых платежах.

Наиболее интересным моментом данной атаки является тот факт, что Rootkit поражает процессы Apache и sshd только в оперативной памяти. Файлы, хранящиеся на диске модификации не подвергаются, что делает невозможным обнаружение подобного типа вредоносного ПО средствами поиска руткитов типа rkhunter или путем сверки контрольных сумм файлов. Кроме того, процессы поражаются на лету и после модификации не перезапускаются, что дополнительно усложняет обнаружение подобной атаки. Отмечается, также то, что в рутките присутствовали функции для манипуляции ProFTPD.

В  уведомлении (http://pastie.org/8015553), отправленном клиентам, компания отмечает, что пароли хранились с использованием SHA256 и солью, поэтому их подбор затруднён, тем не менее, несмотря на это, клиентам рекомендуется сменить пароли. Кроме того, утверждается, что данные кредитных карт скорее всего не пострадали, так как полный серийный номер карт не хранится на серверах компании, а хранятся только последние 3 цифры, а для взаимодействия с серверами платежной системы используется привязанный к карте случайный номер.

URL: http://www.heise.de/newsticker/meldung/Hetzner-gehackt-Kunde...
Новость: https://www.opennet.ru/opennews/art.shtml?num=37116