Ethernet-Server Der Server wurde gehackt, bitte ändern Sie das Passwort

Ich habe eine E-Mail von Ethernet Servers erhalten, in der es heißt, dass der Server gehackt wurde und sie nicht wissen, warum. Jetzt wird jeder aufgefordert, seine Passwörter zu ändern.

Passwort ändern: https://www.ethernetservers.com/clients/clientarea.php?action=changepw

Original-E-Mail :

Hallo Guo,

Mit großer Trauer und Enttäuschung muss ich mitteilen, dass wir Opfer einer Sicherheitsverletzung geworden sind.

Derzeit werden unsere Website (ethernetservers.com) und unser Kundenportal (ethernetservers.com/clients) auf einem Server gehostet, der vollständig von allen anderen Teilen unseres Netzwerks getrennt ist. Er befindet sich an einem völlig anderen physischen Standort und wird von einem Anbieter gehostet, der nur unsere Website und keine Kundenserver hostet. Wir haben schon lange daran geglaubt, dass dies die Redundanz aufrechterhält, falls ein Teil unseres Netzwerks ausfällt. Am Wochenende konnte eine unbefugte Person auf das Control Panel des Anbieters zugreifen, der unsere Website hostet, und forderte dann die Zurücksetzung des Root-Passworts an. Wir hatten auf Serverebene verschiedene Sicherheitsprotokolle eingerichtet, wie z. B. einen nicht standardmäßigen SSH-Port, IP-Einschränkungen usw. Unser Anbieter war jedoch ein hilfsbereiter Mensch und half der Person, die er für mich (George) hielt, hartnäckig, wieder Zugriff auf den Server zu erhalten, da er keinen Grund hatte, das Gegenteil anzunehmen.

Von diesem Punkt aus loggte sich der Angreifer in den Server ein. Es ist nicht genau bekannt, was er getan oder nicht getan hat, da er die Protokolldateien gelöscht hat. Wir gehen jedoch vom Schlimmsten aus, da er eine Sicherungskopie unserer Datenbank erstellt hat. Dies waren die einzigen vertraulichen Informationen auf dem Server, und diese Sicherungskopie enthält alles aus unserem Abrechnungssystem, darunter:

• Vollständiger Name
• Adressen
• E-Mail-Adressen
• Telefonnummern
• Support-Tickets
• Servicedetails (Domänen und IP-Adressen)

Wir verwenden die neueste Version der branchenüblichen Abrechnungssoftware WHMCS, die Passwörter für Dienste (Shared/Reseller-Hosting-Konten und VPS-Root-Passwörter) im Klartext innerhalb der Administratoroberfläche enthält. Passwörter, die zum Anmelden bei unserem Kundenportal (ethernetservers.com/clients) verwendet werden, werden nicht im Klartext gespeichert und sind für uns nicht sichtbar. Es besteht jedoch immer die Möglichkeit, dass sie in Klartext umgewandelt werden können. Aus diesem Grund fordern wir alle auf, alle Passwörter anzupassen. Dies ist hier möglich: https://www.ethernetservers.com/clients/clientarea.php?action=changepw

Wenn Sie Shared- oder Reseller-Hosting-Kunde sind, werden Sie bei der nächsten Anmeldung bei cPanel aufgefordert, ein neues Passwort festzulegen. Das von Ihnen festgelegte Passwort wird nicht in unserem Abrechnungssystem gespeichert.
Wenn Sie VPS-Kunde sind, empfehlen wir Ihnen, Ihr Root-Passwort sowie Ihr SolusVM-Passwort zu ändern. Leider ist es uns nicht möglich, eine Zurücksetzung dieser Passwörter zu erzwingen.

Außer unserer Hauptwebsite wurde kein Zugriff auf andere Server erlangt, und die Möglichkeit, dass sich ein Angreifer über die gespeicherten Daten einzeln beim Kundendienst anmeldet, erscheint äußerst unwahrscheinlich. Daher gehen wir nicht davon aus, dass die Inhalte Ihrer Hosting-Konten gefährdet sind, obwohl eine Kennwortzurücksetzung auf jeden Fall empfohlen wird. Wenn Sie nicht möchten, dass Ihr Servicekennwort in unserem Abrechnungssystem gespeichert wird, können Sie die Kennwortzurücksetzung direkt vornehmen und nicht über unser Kundenportal. Wenn Sie beispielsweise ein Shared-Hosting-Konto haben, können Sie Ihr Kennwort über cPanel ändern, und dann wird es nicht in unserem Abrechnungssystem gespeichert. Dasselbe gilt für VPS-Kunden.

Wie hat sich der Angreifer Zugriff verschafft?
Der Angreifer verwendete das Kontopasswort unseres Lieferanten, das zwar komplex war, aber leider an mehreren Stellen im Internet verwendet wurde. Daher gehen wir davon aus, dass das Passwort woanders kompromittiert worden sein könnte. Trotz aller Bemühungen konnten wir nicht genau feststellen, wo dies geschehen sein könnte.

Was haben wir getan, um einen weiteren Verstoß zu verhindern?
Sobald uns dieses Problem aufgefallen war, haben wir uns sofort beim Server angemeldet, eine vollständige Sicherung aller wichtigen Inhalte erstellt und diese für öffentliche Internetverbindungen unzugänglich gemacht. Anschließend haben wir einen neuen Server eingerichtet und alle statischen Inhalte unserer Website aus einer vor dem Vorfall erstellten Sicherung wiederhergestellt. Außerdem haben wir unser Abrechnungssystem mit unserer Datenbank, die gründlich geprüft und für sauber erklärt wurde, von Grund auf neu installiert. Unsere Website und unser Server wurden von Grund auf neu aufgebaut und wir sind zuversichtlich, dass sie sicher zu verwenden sind.

Unsere bisherigen Server-Sicherheitsmaßnahmen wurden umgesetzt, außerdem wurden neue Sicherheitsebenen hinzugefügt. Wir müssen betonen, dass unsere Serversoftware selbst nicht kompromittiert wurde. Dieser Angriff wurde durch eine Passwortzurücksetzung, wie oben erläutert, ermöglicht.

Alle Mitarbeiter-PCs wurden vollständig gelöscht und ihre Betriebssysteme neu installiert. Obwohl wir davon überzeugt sind, dass der Angriff nicht über einen kompromittierten PC möglich war, werden alle möglichen Schritte unternommen, um unsere Sicherheit wiederherzustellen.

Passwörter und API-Schlüssel für jeden von uns genutzten Dienst wurden auf völlig eindeutige, komplexe Werte zurückgesetzt, die nicht auf Computern gespeichert werden.

Da wir neue Sicherheitsprotokolle eingerichtet haben, ist die verwendete Angriffsmethode nicht mehr möglich, selbst im sehr unwahrscheinlichen Fall, dass das neue Passwort erlangt wurde.

Sind meine Zahlungsdaten gefährdet?
Wir akzeptieren PayPal-Zahlungen sowie Kredit-/Debitkartenzahlungen über das Stripe-Gateway. Wir speichern selbst keine Kreditkarteninformationen und Zahlungen werden über die API von Stripe abgewickelt. Die alten API-Daten, die wir verwendet haben, wurden entfernt, sodass selbst in den Händen eines Angreifers alle Versuche, Abbuchungen vorzunehmen, fehlschlagen. Daher gehen wir nicht davon aus, dass Ihre Zahlungsdaten gefährdet sind. Wenn Sie jedoch dieselben Passwörter woanders verwenden, empfehlen wir Ihnen, diese zu ändern.

Ich spreche im Namen aller unserer Mitarbeiter, wenn ich sage, dass uns die entstandenen Unannehmlichkeiten sehr leidtun. Wir sind von uns selbst enttäuscht, dass die Verhinderung dieses Angriffsanbieters so einfach war, und haben aus unserem Fehler gelernt. Ich verstehe, dass dies Anlass zur Sorge gibt, und wenn Sie etwas mit uns besprechen möchten, lassen Sie es uns bitte wissen, indem Sie auf diese E-Mail antworten, uns auf Facebook oder Twitter kontaktieren, ein Support-Ticket einreichen oder uns über Skype (EthernetServers) erreichen. Um die Rechtmäßigkeit dieser E-Mail zu überprüfen, haben wir auch eine Kopie auf unserer Website veröffentlicht: https://www.ethernetservers.com/email.html

Grüße,
Georg,