http://zap-hosting.com/images/zap-hosting-hack.png(!https)
Sicherheit steht bei ZAP-Hosting.com an oberster Stelle - dennoch gab es einen immensen Zwischenfall am Montag, den 01.07.2013 gegen 20:00 Uhr.
Es gelang einem Angreifer, Vollzugriff auf unsere Systeme zu erlangen. Hierbei führte der Angreifer einen "rm -rf /*" Befehl aus und versuchte so, sämtliche Dateien unserer Server zu löschen.
Der Angreifer schaffte es auch, Zugriff auf die Webseite von ZAP-Hosting zu erlangen und lud hier kurzer Hand eine selbst gestaltete index.html hoch, in dem er präsentierte, dass er ZAP-Hosting.com hackte.
Während unser Team vor Ort bemüht war, sämtliche Daten wiederherzustellen, bemühte sich ein zweites Team darum, die Sicherhheitslücke zu finden.
Innerhalb von einem Tag gelang es uns, sämtliche gelöschte Daten ohne einen Datenverlust wiederherzustellen. Die Sicherhheitslücke war ebenfalls schnell gefunden - zurückführend auf einen Exploit in unserem Virtualisierungssystem, seitens des Virtualisierungssoftwareanbieters "SolusVM", gab es am 16.06.2013 eine Sicherhheitslücke in deren System, bei dem sich ein Angreifer über eine "centralbackup.php" Datei Vollzugriff auf sämtliche Systeme erlangen konnte (weitere Infos siehe hier: [Link:
Registrierung erforderlich])
Nach Einspielung des Sicherhheitsupdates von SolusVM war die Software wieder sicher. Zu dem Zeitpunkt hatte sich der Hacker jedoch bereits einen versteckten Administrator Account in der Datenbank angelegt.
Diesen Zugang benutzte er, um die anschließend von uns geänderten Rootserver Passwörter auszuspähen. Erst am 01.07.2013 entschied sich der Hacker dazu, das Skript zum Löschen der Dateien auszuführen.
Seit dem stehen wir in Kontakt mit dem Hacker, sowie mit der Kriminalpolizei K352 - Internetkriminalität Frankfurt am Main.
Der Hacker ging davon aus, dass wir keine Backups der Website, sowie unserer SolusVM Datenbank haben, erpresste uns schließlich und forderte Geld gegen die Herausgabe der genannten Daten.
Nach Rücksprache mit der Kriminalpolizei entschieden wir uns, nicht für geklaute Daten zu bezahlen und spielten eigene Backups vom 30.06.2013 auf.
Der Hacker gab vorerst an, auch Daten der Kunden geklaut zu haben. Das konnte bis heute aber nicht bestätigt werden - vorallem auch, da das gesamte Kundensystem auf externen Servern liegt, die nicht in unserem Virtualisierungssystem eingebunden sind. Auch die SolusVM Datenbank enthält keine relevanten Kundendaten, lediglich Kundennummern und Vornamen.
Mit Hilfe einer externen Sicherhheitsfirma konnten wir die gesamte SolusVM Datenbank aufräumen und vor jeglichen versteckten Administratorenaccounts bereinigen. Das SolusVM Virtualisierungssystem ist ab sofort wieder sicher. Alle Rootserverlogins wurden deaktiviert, wir arbeiten ab sofort nur noch mit SSH Keys, die es einem Angreifer nahezu unmöglich machen, erneut von außen in unsere Systeme einzudringen.
