seeseekey.net - Invictus Deus Ex Machina

Wie Heise berich­tet, ist die aktu­elle Ver­sion von Piwik (1.9.2) mit einer Back­door ver­se­hen. Augen­schein­lich fand die Infek­tion ges­tern, nach 15:18 Uhr statt, Updates wel­che vor­her ein­ge­spielt wur­den, soll­ten nicht betrof­fen sein.

Erken­nen kann man eine infi­zierte Ver­sion an der Zeichenkette:

eval(gzuncompress(base64_decode

Sollte diese Zeile in der Piwik Instal­la­tion auf­tau­chen so sollte man fol­gende Schritte durchführen:

  • die Datei „piwik/core/DataTable/Filter/Megre.php“ löschen
  • aus der Datei „piwik/core/Loader.php“ die letz­ten sechs Zei­len löschen (begin­nend mit „<?php Error_Reporting(0)“)
  • die Piwik Instal­la­tion nach Dateien durch­su­chen, wel­che nicht zu Piwik gehö­ren und diese entfernen

Alter­na­tiv kann man das ganze neu instal­lie­ren, mit der ent­spre­chen­den Git­hub Ver­sion wel­che unter https://github.com/piwik/piwik/archive/1.9.2.zip zu fin­den ist.

Update:
Mitt­ler­weile gibt es bei Piwik einen Sicher­heits­be­richt in wel­chem unter ande­rem steht das die Ver­sio­nen von 16:43 Uhr bis Mit­ter­nacht kom­pro­mit­tiert sind.

Update (2):
Die im Sicher­heits­be­richt emp­foh­lene Säu­be­rung sieht so aus:

  • piwik/config/config.ini.php“ sichern
  • piwik/“ Ver­zeich­nis löschen
  • neuste Piwi­kver­sion herunterladen
  • auf den Ser­ver hochladen
  • config.ini.php“ wie­der in den Ord­ner „piwik/config/“ packen

Danach ist die Piwik Instal­la­tion wie­der sauber.

Wei­tere Infor­ma­tio­nen gibt es unter:
http://forum.piwik.org/read.php?2,97666
http://www.golem.de/news/webanalyse-backdoor-in-piwik-1211–95956.html

7 Kommentare

  1. Mög­lich dass ich das jetzt bei Heise oder im Piwik-Forum über­se­hen habe, aber wie bist du zu der Info gekom­men, dass die Kom­pro­mit­tie­rung ges­tern nach 15.18 Uhr statt­ge­fun­den hat?

    Antworten

    • Ich habe ges­tern um diese Uhr­zeit, über die Updatefunk­tion das Update instal­liert. Und meine Instal­la­tion scheint nach einer Über­prü­fung, noch sau­ber zu sein.

      Antworten

      • Na hof­fent­lich hast du Recht. Ich kann mich bei mei­nem Webs­pace nur mit SSH/SFTP ver­bin­den, was hier durch die Fire­wall, auf die ich eben­falls kei­nen Zugriff habe, geblockt ist. Und mein Mobil­te­le­fon liegt auch daheim. Von daher bin ich gerade etwas ner­vös, da das ja nicht gerade so eine harm­lose Geschichte ist.

        Antworten

        • So wie es aus­sieht, hast du in der Tat Recht. Im genann­ten Foren-Thread gibt es inzwi­schen einige Mel­dun­gen, dass Nut­zer, die schon vor Tagen geup­datet haben, nicht betrof­fen sind. Ab und zu bin ich froh, sol­che Sachen zeit­nah zu erledigen.

          Antworten

      • Kann ich bestä­ti­gen. Ich bin auch nicht betroffen.

        lg claw

        Antworten

  2. Hallo,

    in dem Sicher­heits­post von PIWIK steht eine etwas andere Mög­lich­keit zum säu­bern, wel­che mir etwas bes­ser erscheint. Viel­leicht soll­test du dies noch­mal anpas­sen. Ins­be­son­dere der Punkt „die Piwik Instal­la­tion nach Dateien durch­su­chen, wel­che nicht zu Piwik gehö­ren und diese ent­fer­nen“ ist schwie­rig, wenn man nicht weiß was nun wirk­lich dazu­ge­hört. ;-)

    LG
    PG

    Antworten

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>