Smarter Schädling kompromittiert Hetzner

"Ende letzter Woche haben Hetzner-Techniker eine 'Backdoor' in einem unserer internen Überwachunssysteme Nagios entdeckt", schreibt der deutsche Webhoster Hetzner in einer E-Mail an seine Kunden. Auch die Verwaltungsoberfläche für dedizierte Server Robot sei betroffen und die Kundendatenbank zumindest teilweise nach extern kopiert worden. "Infolge dessen müssen wir derzeit die bei uns im Robot hinterlegten Kundendaten als kompromittiert betrachten", so Hetzner weiter. Laut Heise wurden Passwort-Hashes und Zahlungsinformationen gestohlen.

Hetzner will einen Schädling identifiziert haben, der bis jetzt unbekannt sei. Der im Backdoor eingesetzte Schadcode habe sich in den Arbeitsspeicher und den Apache- und OpenSSH-Prozess eingeschleust. Die Schadsoftware scheint geschickt programmiert zu sein: Der betroffene Dienst sei trotz Infektion nicht neu gestartet worden und an den Binaries sei auch keine Modifikation erkennbar, schreibt Hetzner. Sicherheitsmassnahmen wie die Prüfung von Checksummen oder Tools wie rkhunter hätten den Schädling darum nicht aufspüren können.

Hetzner habe nun eine externe Sicherheitsfirma beauftragt, seine eigenen Administratoren zu unterstützen. Seinen Kunden empfiehlt der Hoster, die Zugangspasswörter für den Robot-Kundenaccount zu ändern. Die Kreditkartendaten seien hingegen sicher, so Hetzner.

Wie viele Kunden betroffen sind, weiss Hetzner laut Heise nicht. Die Redaktion wollte nachfragen, doch die Medienstelle war nicht erreichbar. Nach einem Anruf auf die Hauptnummer teilte uns der Support mit, dass Hetzner zu dem Fall keine Auskunft mehr geben werde.