Piwik 1.9.2, die Backdoor und deren Entfernung

Wie Heise berichtet, ist die aktuelle Version von Piwik (1.9.2) mit einer Backdoor versehen. Augenscheinlich fand die Infektion gestern, nach 15:18 Uhr statt, Updates welche vorher eingespielt wurden, sollten nicht betroffen sein.

Erkennen kann man eine infizierte Version an der Zeichenkette:

eval(gzuncompress(base64_decode

Sollte diese Zeile in der Piwik Installation auftauchen so sollte man folgende Schritte durchführen:

  • die Datei „piwik/core/DataTable/Filter/Megre.php“ löschen
  • aus der Datei „piwik/core/Loader.php“ die letzten sechs Zeilen löschen (beginnend mit „<?php Error_Reporting(0)“)
  • die Piwik Installation nach Dateien durchsuchen, welche nicht zu Piwik gehören und diese entfernen

Alternativ kann man das ganze neu installieren, mit der entsprechenden Github Version welche unter https://github.com/piwik/piwik/archive/1.9.2.zip zu finden ist.

Update:
Mittlerweile gibt es bei Piwik einen Sicherheitsbericht in welchem unter anderem steht das die Versionen von 16:43 Uhr bis Mitternacht kompromittiert sind.

Update (2):
Die im Sicherheitsbericht empfohlene Säuberung sieht so aus:

  • „piwik/config/config.ini.php“ sichern
  • „piwik/“ Verzeichnis löschen
  • neuste Piwikversion herunterladen
  • auf den Server hochladen
  • „config.ini.php“ wieder in den Ordner „piwik/config/“ packen

Danach ist die Piwik Installation wieder sauber.

Weitere Informationen gibt es unter:
http://forum.piwik.org/read.php?2,97666
http://www.golem.de/news/webanalyse-backdoor-in-piwik-1211-95956.html

Piwik datenschutzkonform betreiben

Bei Piwik handelt es sich ja um eine Software zur Webanalyse. Wenn diese auf dem eignenden Webspace läuft bekommt man das ganze sogar datenschutzkonform hin. Dazu muss nur das letzte Oktet der IP Adressen gekürzt werden. Damit man dies nicht manuell machen muss liefert Piwik das Plugin AnonymizeIP mit. Dieses muss einfach unter Einstellungen -> Plugins aktiviert werden. Schon ist man datenschutzkonform :)

Weitere Informationen gibt es unter:
http://www.braekling.de/web-development/3032-piwik-0-5-5-mit-anonymizeip-plugin.html
http://www.heise.de/newsticker/meldung/Datenschuetzer-empfehlen-Piwik-zur-Webanalyse-1208686.html