Piwik 1.9.2, die Backdoor und deren Entfernung

Wie Heise berichtet, ist die aktuelle Version von Piwik (1.9.2) mit einer Backdoor versehen. Augenscheinlich fand die Infektion gestern, nach 15:18 Uhr statt, Updates welche vorher eingespielt wurden, sollten nicht betroffen sein.

Erkennen kann man eine infizierte Version an der Zeichenkette:

eval(gzuncompress(base64_decode

Sollte diese Zeile in der Piwik Installation auftauchen so sollte man folgende Schritte durchführen:

  • die Datei „piwik/core/DataTable/Filter/Megre.php“ löschen
  • aus der Datei „piwik/core/Loader.php“ die letzten sechs Zeilen löschen (beginnend mit „<?php Error_Reporting(0)“)
  • die Piwik Installation nach Dateien durchsuchen, welche nicht zu Piwik gehören und diese entfernen

Alternativ kann man das ganze neu installieren, mit der entsprechenden Github Version welche unter https://github.com/piwik/piwik/archive/1.9.2.zip zu finden ist.

Update:
Mittlerweile gibt es bei Piwik einen Sicherheitsbericht in welchem unter anderem steht das die Versionen von 16:43 Uhr bis Mitternacht kompromittiert sind.

Update (2):
Die im Sicherheitsbericht empfohlene Säuberung sieht so aus:

  • „piwik/config/config.ini.php“ sichern
  • „piwik/“ Verzeichnis löschen
  • neuste Piwikversion herunterladen
  • auf den Server hochladen
  • „config.ini.php“ wieder in den Ordner „piwik/config/“ packen

Danach ist die Piwik Installation wieder sauber.

Weitere Informationen gibt es unter:
http://forum.piwik.org/read.php?2,97666
http://www.golem.de/news/webanalyse-backdoor-in-piwik-1211-95956.html