Weltweiter Angriff auf HPC-Infrastrukturen

Heute wurde ein weltweiter Angriff auf HPC-Infrastrukturen bekannt. Bei der Überprüfung wurden auch auf dem TUK-Cluster „Elwetritsch“ Anzeichen gefunden, dass dieser Ziel des Angriffs war. Darüber hinaus wurden auf weiteren Linux-Systemen verdächtige Dateien gefunden.

Betroffen sind nach aktuellem Stand RedHat - (auch Derivate wie CentOS sowie Fedora) sowie SUSE-LINUX-basierte Systeme.

Deutschlandweit arbeiten die HPC-Zentren und der DFN-CERT an der Analyse der derzeit gemeldeten Vorfälle. 

Durch das RHRK wurden daher vorsorglich folgende Systeme vom Netz genommen:

• Cluster „Elwetritsch“
• Linux Terminalserver (linda+lindb),
• OpenProject
• SVN-Server

Bis auf weiteres ist eine Nutzung dieser Systeme nicht möglich.

Der kurzzeitige Ausfall des KIS / KIS-Office-Login konnte wieder behoben werden.

Info für Studierende: aktuelle Informationen zum Zugriff auf QIS und KIS finden Sie hier: https://www.uni-kl.de/pruefungsangelegenheiten/

Info für Administratoren uniweit: Bitte prüfen Sie Ihre Linux-Systeme. Angriffe können durch das Vorhandensein der Dateien /etc/fonts/.fonts und/oder /etc/alsa/.catalog auf dem System erkannt werden. Wichtig für die forensische Analyse ist die ctime dieser Dateien. Rufen Sie dazu den Befehl stat auf. Sollte dies der Fall sein, nehmen Sie dieses System vom Netz und informieren Sie das RHRK über hotline(at)rhrk.uni-kl.de

Hinweis speziell für SSH-Nutzer: Sie werden dringend aufgefordert als weitere Sicherheitsmaßnahme alle private keys zu erneuern.

Update:

Benutzer, deren Accounts durch ein Login auf einem kompromittierten System (u.a. HPC, linda/b, KIS Office) möglicherweise betroffen sind, werden von uns noch einmal persönlich angeschrieben. 

Diese müssen zwingend ihr Passwort auf https://passwort.uni-kl.de ändern. 

Betroffene Accounts, deren Passwort seit dem 14.05.2020, 00:00 Uhr nicht geändert wurde, werden am Dienstag, den 02.06.2020, ab 8:00 Uhr gesperrt. 

Diese Information wird aktualisiert.