<div dir="ltr">The full text:<br><br><br><pre class="">Dear Client

At the end of last week, Hetzner technicians discovered a "backdoor" in one 
of our internal monitoring systems (Nagios).

An investigation was launched immediately and showed that the administration 
interface for dedicated root servers (Robot) had also been affected. Current 
findings would suggest that fragments of our client database had been copied 
externally.  

As a result, we currently have to consider the client data stored in our Robot 
as compromised. 

To our knowledge, the malicious program that we have discovered is as yet 
unknown and has never appeared before. 

The malicious code used in the "backdoor" exclusively infects the RAM. First 
analysis suggests that the malicious code directly infiltrates running Apache 
and sshd processes. Here, the infection neither modifies the binaries of the 
service which has been compromised, nor does it restart the service which has 
been affected.

The standard techniques used for analysis such as the examination of checksum 
or tools such as "rkhunter" are therefore not able to track down the malicious 
code. 

We have commissioned an external security company with a detailed analysis of 
the incident to support our in-house administrators. At this stage, analysis 
of the incident has not yet been completed. 

The access passwords for your Robot client account are stored in our database 
as Hash (SHA256) with salt. As a precaution, we recommend that you change your 
client passwords in the Robot. 

With credit cards, only the last three digits of the card number, the card type 
and the expiry date are saved in our systems. All other card data is saved 
solely by our payment service provider and referenced via a pseudo card number. 
Therefore, as far as we are aware, credit card data has not been compromised. 

Hetzner technicians are permanently working on localising and preventing possible 
security vulnerabilities as well as ensuring that our systems and infrastructure 
are kept as safe as possible. Data security is a very high priority for us. To 
expedite clarification further, we have reported this incident to the data 
security authority concerned.

Furthermore, we are in contact with the Federal Criminal Police Office (BKA) in 
regard to this incident.

Naturally, we shall inform you of new developments immediately. 

We very much regret this incident and thank you for your understanding and 
trust in us.

A special FAQs page has been set up at 
<a href="http://wiki.hetzner.de/index.php/Security_Issue/en" target="_blank">http://wiki.hetzner.de/index.php/Security_Issue/en</a> to assist you with further 
enquiries.</pre><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/6/6 Rainer Duffner <span dir="ltr"><<a href="mailto:rainer@ultra-secure.de" target="_blank">rainer@ultra-secure.de</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
Am 06.06.2013 um 20:46 schrieb Sven Nierlein <Sven.Nierlein@Consol.de>:<br>
<div class="im"><br>
> Hi,<br>
><br>
> Do you have any details? The german notice sounds like someone broke<br>
> into their nagios system, but not necessarily by a nagios backdoor.<br>
><br>
>  Sven<br>
<br>
<br>
</div>There are not many details available - probably partly because they don't know them themselves (they've hired outside experts for the analysis).<br>
Also, what you will read about such an incident will almost always never be the "complete truth" but more what the company will want you to believe to be the truth.<br>
<br>
>From what can the learned from (mostly reliable heise-news)<br>
<br>
<a href="http://www.heise.de/newsticker/meldung/Hetzner-gehackt-Kundendaten-kopiert-1884180.html" target="_blank">http://www.heise.de/newsticker/meldung/Hetzner-gehackt-Kundendaten-kopiert-1884180.html</a><br>
<br>
<br>
it either seems to be a rather sophisticated APT-style attack - or the company (Hetzner) has learned little to nothing from previous security-breaches and attackers found another way into their systems.<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
<br>
------------------------------------------------------------------------------<br>
How ServiceNow helps IT people transform IT departments:<br>
1. A cloud service to automate IT design, transition and operations<br>
2. Dashboards that offer high-level views of enterprise services<br>
3. A single system of record for all IT processes<br>
<a href="http://p.sf.net/sfu/servicenow-d2d-j" target="_blank">http://p.sf.net/sfu/servicenow-d2d-j</a><br>
_______________________________________________<br>
Nagios-users mailing list<br>
<a href="mailto:Nagios-users@lists.sourceforge.net">Nagios-users@lists.sourceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/nagios-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/nagios-users</a><br>
::: Please include Nagios version, plugin version (-v) and OS when reporting any issue.<br>
::: Messages without supporting info will risk being sent to /dev/null<br>
</div></div></blockquote></div><br></div>