Piwik 1.9.2, die Backdoor und deren Entfernung

Wie Heise berichtet, ist die aktuelle Version von Piwik (1.9.2) mit einer Backdoor versehen. Augenscheinlich fand die Infektion gestern, nach 15:18 Uhr statt, Updates welche vorher eingespielt wurden, sollten nicht betroffen sein.

Erkennen kann man eine infizierte Version an der Zeichenkette:

eval(gzuncompress(base64_decode

Sollte diese Zeile in der Piwik Installation auftauchen so sollte man folgende Schritte durchführen:

  • die Datei „piwik/core/DataTable/Filter/Megre.php“ löschen
  • aus der Datei „piwik/core/Loader.php“ die letzten sechs Zeilen löschen (beginnend mit „<?php Error_Reporting(0)“)
  • die Piwik Installation nach Dateien durchsuchen, welche nicht zu Piwik gehören und diese entfernen

Alternativ kann man das ganze neu installieren, mit der entsprechenden Github Version welche unter https://github.com/piwik/piwik/archive/1.9.2.zip zu finden ist.

Update:
Mittlerweile gibt es bei Piwik einen Sicherheitsbericht in welchem unter anderem steht das die Versionen von 16:43 Uhr bis Mitternacht kompromittiert sind.

Update (2):
Die im Sicherheitsbericht empfohlene Säuberung sieht so aus:

  • „piwik/config/config.ini.php“ sichern
  • „piwik/“ Verzeichnis löschen
  • neuste Piwikversion herunterladen
  • auf den Server hochladen
  • „config.ini.php“ wieder in den Ordner „piwik/config/“ packen

Danach ist die Piwik Installation wieder sauber.

Weitere Informationen gibt es unter:
http://forum.piwik.org/read.php?2,97666
http://www.golem.de/news/webanalyse-backdoor-in-piwik-1211-95956.html

7 Kommentare » Schreibe einen Kommentar

  1. Möglich dass ich das jetzt bei Heise oder im Piwik-Forum übersehen habe, aber wie bist du zu der Info gekommen, dass die Kompromittierung gestern nach 15.18 Uhr stattgefunden hat?

    • Ich habe gestern um diese Uhrzeit, über die Updatefunktion das Update installiert. Und meine Installation scheint nach einer Überprüfung, noch sauber zu sein.

      • Na hoffentlich hast du Recht. Ich kann mich bei meinem Webspace nur mit SSH/SFTP verbinden, was hier durch die Firewall, auf die ich ebenfalls keinen Zugriff habe, geblockt ist. Und mein Mobiltelefon liegt auch daheim. Von daher bin ich gerade etwas nervös, da das ja nicht gerade so eine harmlose Geschichte ist.

        • So wie es aussieht, hast du in der Tat Recht. Im genannten Foren-Thread gibt es inzwischen einige Meldungen, dass Nutzer, die schon vor Tagen geupdatet haben, nicht betroffen sind. Ab und zu bin ich froh, solche Sachen zeitnah zu erledigen.

  2. Hallo,

    in dem Sicherheitspost von PIWIK steht eine etwas andere Möglichkeit zum säubern, welche mir etwas besser erscheint. Vielleicht solltest du dies nochmal anpassen. Insbesondere der Punkt „die Piwik Instal­la­tion nach Dateien durch­su­chen, wel­che nicht zu Piwik gehö­ren und diese entfernen“ ist schwierig, wenn man nicht weiß was nun wirklich dazugehört. ;-)

    LG
    PG

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.