Wie Heise berichtet, ist die aktuelle Version von Piwik (1.9.2) mit einer Backdoor versehen. Augenscheinlich fand die Infektion gestern, nach 15:18 Uhr statt, Updates welche vorher eingespielt wurden, sollten nicht betroffen sein.
Erkennen kann man eine infizierte Version an der Zeichenkette:
eval(gzuncompress(base64_decode
Sollte diese Zeile in der Piwik Installation auftauchen so sollte man folgende Schritte durchführen:
- die Datei „piwik/core/DataTable/Filter/Megre.php“ löschen
- aus der Datei „piwik/core/Loader.php“ die letzten sechs Zeilen löschen (beginnend mit „<?php Error_Reporting(0)“)
- die Piwik Installation nach Dateien durchsuchen, welche nicht zu Piwik gehören und diese entfernen
Alternativ kann man das ganze neu installieren, mit der entsprechenden Github Version welche unter https://github.com/piwik/piwik/archive/1.9.2.zip zu finden ist.
Update:
Mittlerweile gibt es bei Piwik einen Sicherheitsbericht in welchem unter anderem steht das die Versionen von 16:43 Uhr bis Mitternacht kompromittiert sind.
Update (2):
Die im Sicherheitsbericht empfohlene Säuberung sieht so aus:
- „piwik/config/config.ini.php“ sichern
- „piwik/“ Verzeichnis löschen
- neuste Piwikversion herunterladen
- auf den Server hochladen
- „config.ini.php“ wieder in den Ordner „piwik/config/“ packen
Danach ist die Piwik Installation wieder sauber.
Weitere Informationen gibt es unter:
http://forum.piwik.org/read.php?2,97666
http://www.golem.de/news/webanalyse-backdoor-in-piwik-1211-95956.html