Erstmal vorneweg: Der betroffene FTP-Account unseres Server hatte nur Lesezugriff und der Zugang wurde an Journalisten weltweit herausgegeben. Dass da ein Trojaner mal das Passwort abgreift, kann schnell passieren. Wir haben uns sicherheitstechnisch also nichts vorzuwerfen. Aber darum geht es hier überhaupt nicht.
Die Liste enthält IP-Adressen und Logins der betroffenen FTP-Accounts. Ich vermute mal, dass da einige darunter sind, die z.B. den Login auch als Passwort verwenden. So etwas gehört nicht in die Hände hunderter anderer Kunden.
Das CERT-Email wurde mit allen Headern weitergeleitet. Wenn ihr also "Beweise" braucht:
--------
Return-path: <certbund@bsi.bund.de>
Envelope-to:
abuse@hetzner.de
Delivery-date: Thu, 03 Feb 2011 11:03:26 +0100
Received: from [77.87.228.74] (helo=m2.mfw.bn.ivbb.bund.de)
by lms.your-server.de with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.72)
(envelope-from <certbund@bsi.bund.de>)
id 1Pkw1z-00057M-Oc
for
abuse@hetzner.de; Thu, 03 Feb 2011 11:03:26 +0100
Received: from m2.mfw.bn.ivbb.bund.de (localhost [127.0.0.1])
by m2.mfw.bn.ivbb.bund.de (8.14.3/8.14.3) with ESMTP id p13A367O004812
for <abuse@hetzner.de>; Thu, 3 Feb 2011 11:03:07 +0100 (CET)
Received: (from localhost) by m2.mfw.bn.ivbb.bund.de (MSCAN) id 5/m2.mfw.bn.ivbb.bund.de/smtp-gw/mscan; Thu Feb 3 11:03:06
2011
X-P350-Id: 6a53eaaa45e5f006
Content-Type: text/plain; charset="utf-8"
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
Subject: [CERT-Bund#2011020328000285] Kompromittierte FTP-Accounts
X-Powered-BY: OTRS - Open Ticket Request System (
http://otrs.org/)
X-Mailer: OTRS Mail Service (2.4.6)
Date: Thu, 3 Feb 2011 11:02:52 +0100
Message-ID: <1296727371.643575.679701777.32627.8@sgasirioscb1.bsi.de>
To:
abuse@hetzner.de
Organization: Bundesamt =?UTF-8?Q?f=C3=BCr=20?=Sicherheit in der
Informationstechnik
From: CERT-Bund <certbund@bsi.bund.de>
X-AntiVirus: checked by Avira MailGate (version: 3.1.2; AVE: 8.2.4.158; VDF: 7.11.2.59; host: sgasmtp1.bsi.de); id=8131-idv5JN
X-Virus-Scanned: Clear (ClamAV 0.96.5/12620/Thu Feb 3 07:16:32 2011)
X-Spam-Score: -3.4 (---)
Delivered-To:
he1-abuse@hetzner.de
Sehr geehrte Damen und Herren,
aus vertrauensw=C3=BCrdiger Quelle haben wir eine Liste von Benutzernamen u=
nd
Passw=C3=B6rtern von FTP-Accounts erhalten, die mit Hilfe von Trojanischen =
Pferden
auf infizierten PCs ausgesp=C3=A4ht wurden.
Nachfolgend eine Liste der bei Ihnen gehosteten Accounts.
Wir m=C3=B6chten Sie bitten, Ihre Kunden entsprechend zu informieren und die
Passw=C3=B6rter der Accounts umgehend zu =C3=A4ndern.
--------
Es folgen IP-Adressen und Loginnamen von ca. 800 FTP-Accounts.