• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Hetzner gibt sicherheitsrelevante Daten an fremde Kunden weiter

so_oder_so

New Member
Am 03.02. erhielt ich von Hetzner ein Email mit dem Hinweis, dass ein FTP-Account eines unserer Server angeblich kompromittiert wurde. Dabei hat Hetzner ein Email des CERT-Bund weitergeleitet, dass eine Liste mit über 800 betroffenen Accounts von anderen Hetzner-Kunden enthielt. Ich muss jetzt also davon ausgehen, dass eine nicht unerhebliche Anzahl von Hetzner-Kunden über den entsprechenden FTP-Account unseres Servers informiert wurden. Einer Bitte zur Stellungnahme kam Hetzner nicht nach.

Ich halte das für eine Unverschämtheit und möchte den Vorfall hiermit publik machen.
 
Und das sagt der Einmalposter über einen Hoster, der eigentlich einen sehr guten Namen hat?

1. Völlig blödsinnige Sachdarstellung
2. Keine Beweise
3. Einmalposter
4. Muss ich noch was dazu sagen?
 
Wenn ich Du wäre, wäre ich froh, dass der Hoster dir bescheid gibt.

EDIT:

Typisch Deutsch (ich weiß, es sind nicht alle so), Hauptsache einfach meckern...
 
Du solltest dir zuerst deine eigene Fahrlässigkeit vorwerfen, anstatt über Verfehlungen anderer zu meckern ;)

Es ist sicherlich bedenklich und u.U. aus datenschutzrechtlicher Sicht als kritisch einzustufen. Dafür müsste aber geklärt sein, ob Rückschlüsse auf personenbezogene Daten möglich sind.
Ändert aber nix an der Tatsache, dass du offensichtlich einen Fehler in der Administration zugelassen oder nicht auf entdeckte Sicherheitslücken reagiert hast.
 
Ich finde das ist ein super Service von Hetzner,der auch noch umsonst ist.

Für alle "ich klicke mal ein wenig in Plesk rum" Leute die so ihre Server administrieren, sollten froh sein, dass ein serioeser Hoster/CERT sie über ein Sicherheitsrisiko informiert.

Der Angreifer wäre nicht so freundlich.
 
Wie darf man sich das vorstellen? Ein CERT scannt bestimmte Netzwerke/Anbieter im Kundenauftrag (hier Hetzner) bzw. aus Eigeninitiative (weil Lücke systemimmanent und damit im grossen Stil relevant) und informiert dann den Kunden?

Und der informiert dann seine Kunden auf die hier geschilderte Art und Weise? Ging es um die proftpd-Lücke von vor 8 Wochen?!
 
Ging es um die proftpd-Lücke von vor 8 Wochen?!
Zumindest nicht um die ProFTPd-Lücke von vorgestern (mod_sftp).

Selbst wenn dem Threadersteller und/oder anderen Betroffenen diese Liste von einem übereifrigen Mitarbeiter Hetzners zugespielt wurde, so sehe ich darin kein Problem, schon gar kein sicherheitsrelevantes, da diese Liste offensichtlich keine Kundendaten enthält, lediglich IP-Adessen/Hostnamen. Diese Information lässt sich auch mit einem kleinen Script in wenigen Minuten legal beschaffen.

Ergo: Viel heisse Luft um Nix...
 
Erstmal vorneweg: Der betroffene FTP-Account unseres Server hatte nur Lesezugriff und der Zugang wurde an Journalisten weltweit herausgegeben. Dass da ein Trojaner mal das Passwort abgreift, kann schnell passieren. Wir haben uns sicherheitstechnisch also nichts vorzuwerfen. Aber darum geht es hier überhaupt nicht.

Die Liste enthält IP-Adressen und Logins der betroffenen FTP-Accounts. Ich vermute mal, dass da einige darunter sind, die z.B. den Login auch als Passwort verwenden. So etwas gehört nicht in die Hände hunderter anderer Kunden.

Das CERT-Email wurde mit allen Headern weitergeleitet. Wenn ihr also "Beweise" braucht:

--------

Return-path: <certbund@bsi.bund.de>
Envelope-to: abuse@hetzner.de
Delivery-date: Thu, 03 Feb 2011 11:03:26 +0100
Received: from [77.87.228.74] (helo=m2.mfw.bn.ivbb.bund.de)
by lms.your-server.de with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.72)
(envelope-from <certbund@bsi.bund.de>)
id 1Pkw1z-00057M-Oc
for abuse@hetzner.de; Thu, 03 Feb 2011 11:03:26 +0100
Received: from m2.mfw.bn.ivbb.bund.de (localhost [127.0.0.1])
by m2.mfw.bn.ivbb.bund.de (8.14.3/8.14.3) with ESMTP id p13A367O004812
for <abuse@hetzner.de>; Thu, 3 Feb 2011 11:03:07 +0100 (CET)
Received: (from localhost) by m2.mfw.bn.ivbb.bund.de (MSCAN) id 5/m2.mfw.bn.ivbb.bund.de/smtp-gw/mscan; Thu Feb 3 11:03:06
2011
X-P350-Id: 6a53eaaa45e5f006
Content-Type: text/plain; charset="utf-8"
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
Subject: [CERT-Bund#2011020328000285] Kompromittierte FTP-Accounts
X-Powered-BY: OTRS - Open Ticket Request System (http://otrs.org/)
X-Mailer: OTRS Mail Service (2.4.6)
Date: Thu, 3 Feb 2011 11:02:52 +0100
Message-ID: <1296727371.643575.679701777.32627.8@sgasirioscb1.bsi.de>
To: abuse@hetzner.de
Organization: Bundesamt =?UTF-8?Q?f=C3=BCr=20?=Sicherheit in der
Informationstechnik
From: CERT-Bund <certbund@bsi.bund.de>
X-AntiVirus: checked by Avira MailGate (version: 3.1.2; AVE: 8.2.4.158; VDF: 7.11.2.59; host: sgasmtp1.bsi.de); id=8131-idv5JN
X-Virus-Scanned: Clear (ClamAV 0.96.5/12620/Thu Feb 3 07:16:32 2011)
X-Spam-Score: -3.4 (---)
Delivered-To: he1-abuse@hetzner.de

Sehr geehrte Damen und Herren,

aus vertrauensw=C3=BCrdiger Quelle haben wir eine Liste von Benutzernamen u=
nd
Passw=C3=B6rtern von FTP-Accounts erhalten, die mit Hilfe von Trojanischen =
Pferden
auf infizierten PCs ausgesp=C3=A4ht wurden.
Nachfolgend eine Liste der bei Ihnen gehosteten Accounts.
Wir m=C3=B6chten Sie bitten, Ihre Kunden entsprechend zu informieren und die
Passw=C3=B6rter der Accounts umgehend zu =C3=A4ndern.

--------

Es folgen IP-Adressen und Loginnamen von ca. 800 FTP-Accounts.
 
Solch eine Weiterleitung halte ich für mehr als bedenklich.

Wenn ich es richtig sehe/lese, wurde kein Server gehackt, sondern die PC´s der User am anderen Ende der Leitung.

Die Info an sich ist ja ok, aber nicht das Weiterleiten der Login´s UND Passwörter der FTP-Accounts.

Hetzner hätte entweder jeden einzeln anschreiben müssen, oder eine "pauschale" E-Mail OHNE der Liste mit den einzelnen Accountdaten.

Ich persönlich würde diese Sache rechtlich prüfen lassen.

Vor allem, da aus dem Text von BSI *hustundlol* .bund.de eindeutig hervorgeht, das die PC´s und NICHT die Server gehackt wurden.
 
Die Passwörter standen doch, soweit ich es gelesen, habe nicht in der Datei drin. Es wurden nur die IP-Adressen und Loginnamen mitgeteilt.
 
OK, OK, falsch gelesen, die Paßwörter waren wohl nicht dabei.

Die Weitergabe allein von Accountbenutzernamen ist schon sehr bedenklich!
 
Der betroffene FTP-Account unseres Server hatte nur Lesezugriff und der Zugang wurde an Journalisten weltweit herausgegeben. Dass da ein Trojaner mal das Passwort abgreift, kann schnell passieren.

Abgesehen von der Hetzner-Geschichte hier. Bei diesen offensichtlichen Fakten kommt keiner auf die Idee, dass dieses Setup gehöriger Bullshit ist???
 
Der betroffene FTP-Account unseres Server hatte nur Lesezugriff und der Zugang wurde an Journalisten weltweit herausgegeben.
Bei diesen offensichtlichen Fakten kommt keiner auf die Idee, dass dieses Setup gehöriger Bullshit ist???

Wieso? Man hätte die Dateien auch per anonymous FTP freigeben können, nur so wird man halt von ScriptKiddies und Crawlern, die die robots nicht respektieren verschont.
Das ist keine Sicherheitsmaßnahme, sondern eine um die Serverlast zu reduzieren bzw. nicht bei Suchmaschinen aufzutauchen.
 
Bei diesen offensichtlichen Fakten kommt keiner auf die Idee, dass dieses Setup gehöriger Bullshit ist???
a) Sehe ich wie Whistler.
b) ist es absolut am Thema vorbei.

Ein Kunde von mir ist bei Strato. Dort ging ebenfalls eine solche Email vom BSI ein, welche allerdings personalisiert (also nur die entsprechenden Logins des Servers) an den jeweiligen Kunden weiter geleitet wurde.
Es stellte sich heraus, dass dieses Login überhaupt nicht (und nie) auf dem Server existierte.
Von daher ist in meinen Augen die Email vom BSI bereits etwas zweifelhaft.

huschi.
 
Ich kenne selbst auch diese "Abuse" E-Mail vom BSI. Wir (Comtrance) haben selbst diese Nachricht separiert und nur jeweils die betreffenden Logdaten in die E-Mail wieder reingeschrieben, natürlich Header und Footer im Original. Es befinden sich allerdings keine Empfindlichen Daten in der E-Mail, allerdings ist schön auch wieder etwas anderes und gerade zur letzt zu separieren welches nun zu einen selbst gehört ist auch mühsam, zumindest wenn man mehr als einen Server und eine IP hat.

Allerdings freut man sich auch über Abuse von Hetzner allgemein nicht. Wir hatten schon mal eine erhalten mit einem komplett Protokoll über deren Netzwerkverkehr. Hier wurde jede IP aufgeführt die mehr als 10Pakete pro Sekunde über einen Zeitraum von 300Sec "verursacht" habt. Wieviele IPs es waren kann man sich denke ich vorstellen. Daraus druften wir dann unsere 10-20 IPs raussuchen, aus so ein paar tausend IP. Schon etwas schlecht gestaltet von Hetzner und der Grund war auch etwas mehr als belanglos.
 
Last edited by a moderator:
Ist vielleicht nicht schön. Aber wirklich viel hast du von den IPs auch nicht. Ein simples WHOIS und du kommst an die gleichen IPs.

Ich finde es jedoch gut dass Hetzner im Gegensatz zu anderen Hostern Abusemeldungen ernst nimmt und auch auf sein Netzwerk aufpasst.
 
Das stimmt wohl, allerdings auch wieder etwas oversized. Ich selbst fand die Grenze doch etwas recht niedrig. Eine Abuse rauszugeben, weil jemand 3000 Packete in 5 Min zu einen Hetzner Server geschickt hat ist etwas übertrieben. Ich mein es waren 10 Stück dabei die lagen bei 10.000 - 10Millionen Packete in einen 5 Min Zeitraum, weitere 10 Stück die lagen bei 5.000 - 10.000 Packete und rund 900 Server haben gerade um 1 Packete die Grenze geknackt.

Ich denke allerdings das Hetzner das auch nicht ganz uneigennützig macht. Der ganze Traffic liegt in irgendwelchen "Flats", dementsprechend lohnt es sich für die wenn man durch die Netzüberwachung einfach einige TB Traffic spart, die sie sonst ja auch nicht bezahlt bekommen würden. In der Dimension wo Hetzner liegt handelt es sich auch vermutlich gerade nicht um nur 2-3 TB sondern vllt. 50, 100... TB Traffic.
 
Aber wirklich viel hast du von den IPs auch nicht. Ein simples WHOIS und du kommst an die gleichen IPs.
Sicherlich kommt man an alle IP's im Netz. Aber normalerwiese kommt man nicht an die Traffic-Daten ran.
Kurzes Szenario:
Ein Webhostinganbieter/Wohnzimmerhoster mit 1 oder 2 Servern erhält diese Email. Aus Langeweile checkt der mal wem die anderen IP's gehören und findet dort einen, zwei oder mehrere Konkurrenten.
Schon sieht er:
a) Wie viele Server der Konkurrent betreibt.
b) Wie erfolgreich (Traffic-Konsum) seine Geschäfte laufen.

Hier sehe ich tatsächlich ein Problem in Richtung "Geschäftsgeheimnise".
Der Geschäftsbereich ist hierbei Variabel: Ersetzte "Wohnzimmerhoster" mit beliebigen anderen Online-Dienstleistungen. Z.B. Online-Spiele, Gameserver-Anbieter, Online-Magazine, (Affiliate-)Shops, uvm.

huschi.
 
Back
Top