イーサネットサーバー サーバーがハッキングされました。パスワードを変更してください

Ethernet Servers から、サーバーがハッキングされたが理由は不明だというメールが届きました。現在、全員にパスワードの変更を求めています。

パスワードの変更: https://www.ethernetservers.com/clients/clientarea.php?action=changepw

元のメール:

こんにちは、guoさん。

大変残念で残念なことですが、私たちはセキュリティ侵害の被害に遭ったことをお知らせしなければなりません。

現状では、当社の Web サイト (ethernetservers.com) と顧客ポータル (ethernetservers.com/clients) は、ネットワークの他の部分から完全に分離されたサーバーでホストされています。物理的に完全に異なる場所にあり、プロバイダーは当社の Web サイトのみをホストし、顧客サーバーはホストしていません。これは、ネットワークの一部に障害が発生した場合に冗長性を維持するため、当社が長い間信じてきたことです。週末、権限のない個人が当社の Web サイトをホストしているプロバイダーのコントロール パネルにアクセスし、そこからルート パスワードのリセットを要求しました。当社は、非標準 SSH ポート、IP 制限など、サーバー レベルでさまざまなセキュリティ プロトコルを導入していましたが、当社のプロバイダーは親切な人々であるため、私 (George) と思われる人物がサーバーに再度アクセスできるように粘り強く支援してくれました。それ以外に信じる理由がなかったからです。

この時点で、攻撃者はサーバーにログインしました。ログ ファイルを消去したため、攻撃者が何をしたか、またはしなかったかは正確にはわかりませんが、データベースのバックアップを取ったことから、最悪の事態を想定しています。これはサーバー上の唯一の機密情報であり、このバックアップには、次のものを含む、課金システム内のすべての情報が含まれます。

• フルネーム
• 住所
• メールアドレス
• 電話番号
• サポートチケット
• サービスの詳細（ドメインと IP アドレス）

当社では、業界標準の課金ソフトウェアである WHMCS の最新バージョンを使用しています。このソフトウェアには、管理者インターフェイス内にサービス (共有/再販業者ホスティング アカウントと VPS ルート パスワード) のパスワードがプレーン テキストで保存されています。当社の顧客ポータル (ethernetservers.com/clients) へのログインに使用されるパスワードはプレーン テキストで保存されておらず、当社には表示されませんが、プレーン テキストに変換される可能性は常にあります。そのため、すべてのパスワードを調整することを強くお勧めします。これは、https://www.ethernetservers.com/clients/clientarea.php?action=changepw から行うことができます。

共有ホスティングまたはリセラー ホスティングのお客様の場合、次回 cPanel にログインするときに新しいパスワードを設定するように求められます。設定したパスワードは、当社の課金システムのファイルには保存されません。
VPS のお客様の場合は、SolusVM パスワードとともにルート パスワードを変更することをお勧めします。残念ながら、これらのパスワードを強制的にリセットすることはできません。

弊社のメイン Web サイト以外のサーバーにはアクセスできていません。また、ファイル内の詳細情報から攻撃者が個別にカスタマー サービスにログインする可能性は極めて低いと思われます。そのため、お客様のホスティング アカウントのコンテンツが危険にさらされているとは考えられませんが、パスワードのリセットは確実にお勧めします。サービス パスワードを弊社の課金システムに保存したくない場合は、カスタマー ポータル経由ではなく、直接パスワードをリセットすることで可能です。たとえば、共有ホスティング アカウントをお持ちの場合は、cPanel 経由でパスワードを変更すると、課金システムに保存されなくなります。VPS のお客様にも同様のことが当てはまります。

攻撃者はどのようにしてアクセスしたのでしょうか?
攻撃者は当社のサプライヤーのアカウント パスワードを使用しましたが、これは複雑なパスワードであり、非常に残念なことに、オンライン上の複数の場所で使用されていました。そのため、パスワードは他の場所で侵害された可能性があると考えています。最善の努力にもかかわらず、正確な場所を特定することはできませんでした。

さらなる違反を防ぐために私たちは何をしましたか?
この問題に気付いた時点で、当社は直ちにサーバーにログインし、すべての重要なコンテンツの完全なバックアップを取り、公共のインターネット接続からアクセスできないようにしました。その後、新しいサーバーをセットアップし、侵入前に取得したバックアップから静的 Web サイトのすべてのコンテンツを復元し、徹底的にチェックされクリーンであると宣言されたデータベースを使用して、課金システムを最初から完全に再インストールしました。当社のサイトとサーバーは完全に再構築されており、安全に使用できると確信しています。

弊社のサーバー セキュリティ対策は以前から実施されており、さらに新たなセキュリティ層も導入されています。弊社のサーバー ソフトウェア自体が侵害されたわけではなく、この攻撃は上記で説明したようにパスワードのリセットによって可能になったものであることを強調しておきます。

スタッフの PC はすべて完全に消去され、オペレーティング システムは再インストールされました。攻撃は侵入された PC によって行われたものではないと確信していますが、セキュリティを再構築するためにあらゆる可能な措置が講じられています。

私たちが使用するすべてのサービスのパスワードと API キーは、完全に一意で複雑な値にリセットされており、コンピューターに保存されていません。

新しいセキュリティ プロトコルを設定したため、新しいパスワードが取得されるという非常にまれな可能性があったとしても、使用された攻撃方法は不可能になりました。

私の支払い詳細は危険にさらされていますか?
弊社では、PayPal による支払い、および Stripe ゲートウェイ経由のクレジット/デビット カードによる支払いを受け付けています。弊社ではクレジットカード情報を保管しておらず、支払いは Stripe の API 経由で処理されます。弊社が使用していた古い API の詳細は削除されているため、攻撃者の手に渡ったとしても、請求の試みは失敗します。そのため、お客様の支払い情報が危険にさらされているとは考えられませんが、他の場所で同じパスワードを使用している場合は、変更することをお勧めします。

弊社スタッフ全員を代表して、ご不便をおかけしたことをお詫び申し上げます。この攻撃ベンダーの防止は非常に簡単だったため、弊社は失望しており、このミスから十分に学びました。この結果、懸念が生じることは承知しております。弊社と話し合いたいことがあれば、このメールに返信するか、Facebook または Twitter でお問い合わせいただくか、サポート チケットを送信するか、Skype (EthernetServers) でご連絡ください。このメールの正当性を確認するため、弊社の Web サイトにもコピーを掲載しました: https://www.ethernetservers.com/email.html

よろしくお願いいたします。
ジョージ、