Backoor im Piwik-Code aufgetaucht
Backoor im Piwik-Code aufgetaucht (Bild: Piwik)

Webanalyse Backdoor in Piwik

Die freie Web-Analyse-Software Piwik enthielt eine Hintertür, die es Angreifern ermöglichte, beliebigen PHP-Code auf einem Server auszuführen. Mittlerweile steht eine korrigierte Version zum Download bereit.

Anzeige

Die Piwik-Macher haben die kompromittierte Version von Piwik 1.9.2 gegen eine korrigierte Version ausgetauscht. Dem Golem.de-Leser Max Grobecker war in der Datei /piwik/core/Loader.php ein ungewöhnlicher Codeblock aufgefallen. Der mit Base64 codierte und mit gzip komprimierte Code sendet den Hostnamen und die Piwik-URL des jeweiligen Servers an einen Server und legt im selben Verzeichnis die Datei lic.log ab, die das Wort "piwik" enthält. Solange diese Datei existiert, werden laut Grobecker keine Anfragen mehr an den besagten Server geschickt, vermutlich um die Last auf dem System so gering wie möglich zu halten.

Darüber hinaus wird eine Backdoor geöffnet, mit der der Angreifer beliebigen PHP-Code auf dem Server ausführen kann, die notwendige URL schickt das System schließlich an dessen Server. Dazu wird ein regulärer Ausdruck mit /e-Modifikator verwendet. So ist es beispielsweise möglich, den Inhalt von htpasswd-Dateien anzuzeigen oder eine eigene PHP-Datei irgendwo innerhalb des Webspaces abzulegen und darin eigenen Code auszuführen, sofern der Webserver über Schreibrechte verfügt.

Das Problem wird lediglich im Piwik-Forum diskutiert, eine entsprechende prominente Warnung findet sich auf der Piwik-Website bislang nicht. Wer Piwik in der letzten Zeit installiert hat, sollte seine Installation prüfen. Zudem ist unklar, wie der entsprechende Code im offiziellen Piwik-Archiv landen konnte.

Nachtrag vom 27. November 2012, 13:35 Uhr

Die Piwik-Entwickler haben mittlerweile einen "Security Report" zu dem Vorfall veröffentlicht. Demnach wurde der Piwik-Webserver am gestrigen 26. November kompromittiert und das Zip-Archiv mit der aktuellen Piwik-Version ausgetauscht. Demnach stand die von dem Angreifer modifizierte Version der Software nur für einige Stunden zum Download bereit.

Wer Piwik gestern zwischen 16:43 Uhr und Mitternacht heruntergeladen hat, sollte seine Installation prüfen; wer die Software davor oder danach heruntergeladen hat, sollte sicher sein. Woran eine kompromittierte Installation zu erkennen ist, beschreiben die Piwik-Macher in ihrem Sicherheitsbericht.

Der Angriff auf den Piwik-Server erfolgt dem Bericht zufolge durch eine Sicherheitslücke in einem Wordpress-Plugin, das auf der Seite eingesetzt wurde.


mbirth 28. Nov 2012

Mein Update war am 24.11. 20:27 Uhr und dort ist die Loader.php auch sauber.

Lala Satalin... 27. Nov 2012

Und Windows?

berritorre 27. Nov 2012

Was ist denn das für eine Aussage? Surprise, surprise! Natürlich wird die Serverlast...

Kommentieren


Bernd & Björn's Blog / 27. Nov 2012

Piwik - Beliebte Web analytics Software kompromittiert



Anzeige

  1. Softwareentwickler (.NET) (m/w)
    dawin GmbH, Troisdorf
  2. EDI-Spezialist (m/w)
    KNV Logistik GmbH, Erfurt
  3. PDM Consultant (m/w)
    Robert Bosch GmbH, Stuttgart-Feuerbach
  4. Elektronikerin / Elektroniker für die Qualitätssicherung
    VITRONIC Dr.-Ing. Stein Bildverarbeitungssysteme GmbH, Wiesbaden

 

Detailsuche


Top-Angebote
  1. TIPP: Speedlink Ledos Core Gaming-Maus gratis bei Kauf eines ausgewählten Speedlink-Headsets
    (z. B. Speedlink Medusa XE + Ledos Core zusammen für nur 39,99€ anstatt 61,68€)
  2. VORBESTELLBAR: Mario Party 10 + amibo (Wii U)
    45,99€ (Vorbesteller-Preisgarantie) - Release 20.03.
  3. NUR HEUTE: Saturn Super Sunday
    (alle Angebote versandkostenfrei, u. a. Samsung Galaxy Note 4 599,00€)

 

Weitere Angebote


Folgen Sie uns
       


  1. Galaxy S6 und Edge-Variante

    Samsungs neue Top-Smartphones im Glaskleid

  2. Smart Home

    D-Link will Z-Wave-Funk in seine Router integrieren

  3. Vive

    Valves VR-Brille kommt von HTC

  4. Huawei Watch im Hands On

    Kompakte Smartwatch mit rundem Saphirglas

  5. One M9 im Hands on

    HTCs Lollipop-Smartphone hat ein Zusatzknöpfchen

  6. Watch Urbane LTE im Hands On

    LGs Edelstahl-Uhr für geduldige Golfer

  7. Qi Wireless Charging

    Ikea-Möbel laden schnurlos Akkus

  8. Linux-Desktops

    Xfce 4.12 ist endlich fertig

  9. Fahrerdienst

    Uber verschweigt monatelang einen Server-Einbruch

  10. Linux 4.0

    Streit um das Live-Patching entbrennt



Haben wir etwas übersehen?

E-Mail an news@golem.de



Honor Holly im Test: 130 Euro - wer bietet weniger?
Honor Holly im Test
130 Euro - wer bietet weniger?
  1. Honor Preis des Holly sinkt auf 110 Euro
  2. Honor Holly Je mehr Interessenten, desto günstiger das Smartphone
  3. Honor T1 8-Zoll-Tablet im iPad-Mini-Format für 130 Euro

SLED 12 im Test: Die Sinnhaftigkeit eines kostenpflichtigen Linux-Desktops
SLED 12 im Test
Die Sinnhaftigkeit eines kostenpflichtigen Linux-Desktops
  1. Linux-Jahresrückblick 2014 Umbauarbeiten, Gezanke und Container

Test Samsung NX1: Profikamera oder nicht - Samsung muss noch viel lernen
Test Samsung NX1
Profikamera oder nicht - Samsung muss noch viel lernen
  1. Freihändige 40-Megapixel-Fotos Olympus verändert Kameramarkt mit Zittersensor
  2. EOS M3 Neue Systemkamera mit deutlich schnellerem Autofokus
  3. Micro-Four-Thirds-Sensor Olympus Air ist eine Smartphonekamera zum Anklemmen

  1. Re: HTC?

    Blair | 21:53

  2. Re: find ich gut

    Blair | 21:53

  3. Re: Nebenbei-Frage zu Linux

    Thaodan | 21:52

  4. Re: OculusRift

    Blair | 21:52

  5. Re: Wird sich wohl gut verkaufen :/

    jayjay | 21:51


  1. 19:36

  2. 17:29

  3. 17:20

  4. 17:16

  5. 17:00

  6. 15:39

  7. 13:23

  8. 13:12


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel