1BLU Kunden aufgepasst!

[1blu_info]

Hallo,

ich habe gestern in einem dubiosen Forum von einem sehr krassen Angebot gelesen:

Ein User bietet 1500 Root-Zugänge auf Servern bei einem Webhoster an.
Angeblich durch ein Sicherheitsloch in der Kundenverwaltung konnte er alle Standart-Root-Passwörter auslesen und hat sich ein Script gebastelt, welches auf jenen Servern eine chroot-Umgebung mit eigenem SSH-Daemon startet.
Diese Zugänge wollte er nun verkaufen, sein ursprünglicher Text:

Hallo Community,
hier mal ein Angebot größeren Ausmaßes.

Zur Vorgeschichte:
Über eine selbst gefundene SQL-Injection bei einem bekannten deutschen Webhoster habe ich Zugang zur Kundendatenbank erlangen können.
Nachdem alle Shared-Hosting-User rausgefiltert wurden, blieben noch ca. 5500 Serverkunden (gemischt dedicated / vServer) übrig.
Automatisiert habe ich sämtliche 5500 Server abgeklappert und die Kombination aus dem User "root" und dem Passwort, welches beim Hoster verwendet wurde, ausprobiert.
In meinem Log befanden sich danach 1500 root-Zugangsdaten.
Ich habe danach ein Skript gebastelt, welches einen Debian-debootstrap in eine chroot-Umgebung nach /usr/.../.../.../ durchführt.
Auf einem alternativen Port läuft jetzt auf jeder dieser knapp 1500 Boxen ein SSH-Daemon mit eigenem root-User und eigenem Passwort; das System des Hosting-Kunden bleibt also mehr oder weniger unberührt.
Da einige der Kunden rkhunter und chkrootkit verwenden habe ich bewusst auf den Einsatz eines Rootkits verzichtet.
Weil bei "ps -ef" aber bei beiden laufenden SSH-Prozessen nur /usr/sbin/sshd als Pfad angezeigt wird, sollte der User bei normalem Gebrauch keine Auffälligkeiten bemerken - außer natürlich Ihr erzeugt eine hohe Load auf dem Server.
Die chroot-Umgebungen sind reboot-persistent, d.h. die Umgebung kommt automatisch wieder, wenn der Host neugestartet wird.

Die Einsatzzwecken für die Maschinen sind vielfältig - ob Ihr nun Proxys darauf aufsetzt, Dateien hostet oder die geballte Netzwerkleistung von knapp 1500 Nodes für DDoS-Attacken nutzt, ist Euch überlassen.

Was ich biete:
- 1500 root-Zugangsdaten zu chroot-Umgebungen auf gekaperten Systemen

Was ich suche:
- Macht mir Angebote. Kommentare wie "ich geb dir 10€ psc!!!111" könnt Ihr Euch bitte sparen.

Ich bin gerne bereit, einen Mod einige zufällig ausgewählte Zugänge zu geben, um das ganze zu trusten.

Spart Euch bitte die Aussagen darüber, dass ich hier bisher keine Beiträge gepostet habe.

Ich bin gespannt auf Euer Feedback.

Später kam dann raus, dass er den Hoster 1blu meint.
Also falls 1blu ca 5500 Server oder vServer und ca 140.000 Webspace Kunden hat (die Zahlen hat er angegeben), dann stimmt das Ganze wohl. Angeblich hat sich auch schon ein Käufer gefunden...

Also bitte an ALLE Kunden, die noch das Standart-Passwort auf dem Server benutzen - ändert es schnellstmöglich und überprüft mit "ps -aux | grep sshd" oder "netstat" ob ein zweiter SSH-Daemon läuft.
Ausserdem an ALLE Kunden, überprüft ob ihr per Kreditkarte oder Paypal etc gezahlt habt und ggf. bei einem Online-Zahlungsanbieter das selbe Passwort wie bei 1blu benutzt, denn dort werden wohl ALLE Daten Klartext gespeichert.

Viele Grüße

[90GradHosting]

mhm also wenn an der Geschichte was dran sein sollte, würde ich die Info evt an 1Blu weiterleiten. 1500 Zugänge sind doch schon eine menge, womit man ne menge Unsinn anstellen "könnte" auch.

[1blu_info]

Hab dort schon angerufen, aber 1blu will davon nichts wissen - naja mir ist es letzten Endes egal. Ich will nur helfen.

[petzsch]

Deren twitter Account würde ich so deuten, dass die betroffenen Kunden schon informiert wurden und man die Sache untersucht.

[ChristianIstTraurig]

Hallo Freunde,
ich schreibe heute meinen ersten Post in dieses Forum und muss mich gleich zum Anfang Outen:
Ich bin betroffen. Ich habe heute (10.11.2011) eine eMail von 1blu erhalten, die die folgende Weisung zu Passwortänderung
enthielt:

.......
wir wurden heute darüber informiert, dass es unter Umständen durch einen
illegalen Zugriff auf unser internes System zu einem nicht autorisierten
Zugriff auf Passwörter einiger unserer Kunden gekommen ist. Wir haben
sofort nach Kenntnisnahme damit begonnen, diesem Hinweis nachzugehen und
unsere Systeme zu überprüfen. Bisher konnten wir jedoch keine Hinweise auf
einen solchen illegalen Zugriff feststellen.

Aus Sicherheitsgründen bitten wir Sie dennoch vorsorglich, sämtliche
Passwörter auf Ihrem 1blu-System, insbesondere das Root-Passwort Ihres 1blu-
Servers sofort zu ändern.

Die internen Untersuchungen dauern zur Zeit noch an. Sollte ein Einbruch in
unser internes System festgestellt werden, werden wir selbstverständlich
alle notwendigen Maßnahmen treffen und Sie erneut über diesen Sachverhalt
informieren.

Wir bedanken uns für Ihr Verständnis und Ihr Vertrauen.
........

Daraufhin habe ich unverzüglich mein Kunden- sowie mein Root-Passwort geändert. Außerdem telefonierte ich auch mit dem Support und fragte, was ich noch machen kann. Da ich die genaue Thematik nicht kannte und auch immer auf die sicherheit meiner seite(cross-site-scripting, sql injectios , cross site request forency), verschlüsselte verbindungen geachtet habe, bin ich jetzt um so mehr geschockt.

Ich habe mich heute noch vier mal(mit dem neuen Passwort) erfolgreich einloggen können und kann es seit heute abend nicht mehr. Ich weiß es kling recht dumm, alledings schließe ich Tipfehler oder eine Verwechslung des Passwortes aus. Ich zweifel nun bereits an meinen Verstand und bitte versteht mich nicht falsch. Ich denke, dass man bei so günstigen Preisen nicht so viel nögeln sollte. Ohnehin bin ich auch ein sehr zufriedener Kunde, aber nun geht mir doch ganz schön die Pumpe.

Auch wenn mein server, eher sowas wie eine Elektrische Müllhalde, mit einen nginx http server und drei wichtigen Domains und ein wichtiges Forschungsprojekt. Es wäre ärgerlich wenn Daten weg kommen oder in die hände Dritte fallen. Viel schlimmer finde ich, dass meine Bankdaten in der 1Blu Datenbank erfasst sind.


Ich habe bereits den Support informiert, doch werden dort vermutlich schon alle Lichter aus sein.

Grüße
Chris

[ChristianIstTraurig]

Und der zweite Post mit einem Nachtrag, die Lichter sind nicht aus und meine Angst ist unbegründet.
Mein zugang wurde gesperrt und 1blu kennt seine Kunden:

......
wie wir Sie heute bereits informiert hatten, haben wir einen Hinweis
erhalten, dass es unter Umständen durch einen illegalen Zugriff auf unser
internes System zu einem nicht autorisierten Zugriff auf Passwörter unserer
Kunden gekommen ist.

Wir nehmen Hinweise dieser Art sehr ernst. Um eventuellen Missbrauch
entgegen zu wirken, haben wir uns aus Sicherheitsgründen entschlossen,
aktiv die Root-Passwörter sämtlicher möglicherweise betroffenen Systeme zu
sperren, für die das von uns bei der Bestellung gesetzte Standard-Passwort
bisher nicht geändert wurde.

Ihr neues Root-Passwort werden wir Ihnen morgen umgehend per Post an die
bei uns hinterlegte Anschrift zusenden.

Sollten Sie vorab dringend Root-Zugriff auf Ihr System benötigen, möchten
wir Sie bitten, sich telefonisch unter XXXXXXXXX bei unserem Support zu
melden.

Gleichzeitig möchten wir Sie aus Sicherheitsgründen dringend bitten, die
Passwörter für Ihren Kundenservicebereich sowie sämtlicher Dienste (FTP, E-
Mail, Datenbanken) zu ändern.

Wir bedauern die Ihnen entstehenden Unannehmlichkeiten sehr und bitten um
Ihr Verständnis. Wir erachten diese Maßnahme als notwendig, um dem uns von
Ihnen entgegen gebrachten Vertrauen gerecht zu werden und
verantwortungsvoll mit dem Thema Datensicherheit umzugehen.

..........

@1blu_info, bitte poste einmal den Link zu deinem Fund. Ich persönlich halte es für eine leere Drohung. Vielleicht bist Du, lieber 1blu_info, eine ehemaliger Mitarbeiter, der sich wichtig tut. Vielleicht ein Bewerber, der seine Traumstelle verfehlte. Ich weiß es nicht!

Auf jeden Fall müsste der Typ Spuren auf meinem System hinterlassen haben. wenn der hacker kein proxy verwendet hat, kann ich eine Uhrzeit und eine ip adresse ermitteln. Das und eine anzeige sollte ausreichen, dass die Staatsanwaltschaft die heraushabe der Anschlussdaten erzwingt. Kurz und knapp, ich mag meinen hacker gerne besuchen, wenn die Geschichte stimmt.

Wenn sich diese Sache als Spuck darstellt, dann hat der Querulant vermutlich eine besondere beziehung zum Unternehmen. So lässt sich mit Sicherheit der Quälgeist ermitteln, auch wenn es keine Sql-injections gab.

Außerdem mach ich gerne Anderen eine Freude und bin immer für ein Hausbesuch zu haben.

Auf Bald, Chris

[1blu_info]

Wenn du dein Root-Passwort geändert hast, wundert es mich, dass dein Server trotzdem gesperrt wurde :/
Aber scheinbar haben Sie endlich etwas gefunden, sonst hätte man diesen Schritt wohl nicht vollzogen!

[1blu_info]

Hm, wenn du mir nicht glauben willst, dann lass es. Ich will wie gesagt nur helfen.
Aber Logs kann man fälschen und wie du selbst sagst gibt es VPN-Anbieter, die sich darauf spezialisieren, Leute wie diesen netten Herren zu anonymisieren. Siehe Perfect-Privacy.

[ChristianIstTraurig]

Ich mag Dir gerne glaube. allerdings würde ich auch gerne deine Quelle einsehen, um die Information zu validieren. Wie gesagt bin auch ich sehr daran interessiert meine Daten zu schützen. Ich habe nach dem von Dir zitierten Text gesucht, auch gegooglet. Leider bin ich nicht bis jetzt nicht fündig geworden.

Bitte verstehe mich nicht falsch. Dein Benutzername, deine Anonymität und die genannte Quelle "dubiosen Forum", die ich bis jetzt nich validieren konnte, lässt in meinen subjektiven Blickwinkel den Eindruck entstehen, dass Du in Verbindung mit dem ganzen Gezätter stehst.

Bitte nenne mir dein Quelle und ich lass Dich in frieden. Und Glaube mir, der Beste Mensch ist nicht perfekt, jeder verbrecher macht fehler. Wenn Du meine Kanidat wärst, dann hättest du dich hier in dem Forum bereitsgeoutet.


Bitte nenne mir die Quelle

[weesly]

Ein "dubioses Forum" wirst du auch nie im Google Index finden ;-)