Backoor im Piwik-Code aufgetaucht
Backoor im Piwik-Code aufgetaucht (Bild: Piwik)

Webanalyse Backdoor in Piwik

Die freie Web-Analyse-Software Piwik enthielt eine Hintertür, die es Angreifern ermöglichte, beliebigen PHP-Code auf einem Server auszuführen. Mittlerweile steht eine korrigierte Version zum Download bereit.

Anzeige

Die Piwik-Macher haben die kompromittierte Version von Piwik 1.9.2 gegen eine korrigierte Version ausgetauscht. Dem Golem.de-Leser Max Grobecker war in der Datei /piwik/core/Loader.php ein ungewöhnlicher Codeblock aufgefallen. Der mit Base64 codierte und mit gzip komprimierte Code sendet den Hostnamen und die Piwik-URL des jeweiligen Servers an einen Server und legt im selben Verzeichnis die Datei lic.log ab, die das Wort "piwik" enthält. Solange diese Datei existiert, werden laut Grobecker keine Anfragen mehr an den besagten Server geschickt, vermutlich um die Last auf dem System so gering wie möglich zu halten.

Darüber hinaus wird eine Backdoor geöffnet, mit der der Angreifer beliebigen PHP-Code auf dem Server ausführen kann, die notwendige URL schickt das System schließlich an dessen Server. Dazu wird ein regulärer Ausdruck mit /e-Modifikator verwendet. So ist es beispielsweise möglich, den Inhalt von htpasswd-Dateien anzuzeigen oder eine eigene PHP-Datei irgendwo innerhalb des Webspaces abzulegen und darin eigenen Code auszuführen, sofern der Webserver über Schreibrechte verfügt.

Das Problem wird lediglich im Piwik-Forum diskutiert, eine entsprechende prominente Warnung findet sich auf der Piwik-Website bislang nicht. Wer Piwik in der letzten Zeit installiert hat, sollte seine Installation prüfen. Zudem ist unklar, wie der entsprechende Code im offiziellen Piwik-Archiv landen konnte.

Nachtrag vom 27. November 2012, 13:35 Uhr

Die Piwik-Entwickler haben mittlerweile einen "Security Report" zu dem Vorfall veröffentlicht. Demnach wurde der Piwik-Webserver am gestrigen 26. November kompromittiert und das Zip-Archiv mit der aktuellen Piwik-Version ausgetauscht. Demnach stand die von dem Angreifer modifizierte Version der Software nur für einige Stunden zum Download bereit.

Wer Piwik gestern zwischen 16:43 Uhr und Mitternacht heruntergeladen hat, sollte seine Installation prüfen; wer die Software davor oder danach heruntergeladen hat, sollte sicher sein. Woran eine kompromittierte Installation zu erkennen ist, beschreiben die Piwik-Macher in ihrem Sicherheitsbericht.

Der Angriff auf den Piwik-Server erfolgt dem Bericht zufolge durch eine Sicherheitslücke in einem Wordpress-Plugin, das auf der Seite eingesetzt wurde.


mbirth 28. Nov 2012

Mein Update war am 24.11. 20:27 Uhr und dort ist die Loader.php auch sauber.

Lala Satalin... 27. Nov 2012

Und Windows?

berritorre 27. Nov 2012

Was ist denn das für eine Aussage? Surprise, surprise! Natürlich wird die Serverlast...

Kommentieren


Bernd & Björn's Blog / 27. Nov 2012

Piwik - Beliebte Web analytics Software kompromittiert



Anzeige

  1. (Senior) Consultant SAP BI IP (m/w)
    Media-Saturn-Holding GmbH, Ingolstadt
  2. IT-Service Mitarbeiter (m/w) für den Anwender-Support
    DATAGROUP Köln GmbH, München
  3. IT-Mitarbeiter / innen Technische Servicestationen
    Landeshauptstadt München, München
  4. Mitarbeiter IT Support (m/w)
    Geberit Verwaltungs GmbH, Pfullendorf

 

Detailsuche


Spiele-Angebote
  1. F1 2015 Special Edition (exkl. bei Amazon.de) PS4/Xbox One
    69,99€ (Vorbesteller-Preisgarantie) - Release 12.06.
  2. God of War 3 Remastered - [PlayStation 4]
    49,00€ (Release 15. Juli)
  3. PS4 + The Witcher 3 + Comic
    399,00€

 

Weitere Angebote


Folgen Sie uns
       


  1. One Earth Message

    Bilder und Töne für Außerirdische

  2. Tropico 5

    Espionage mit El Presidente

  3. Tessel

    Offenes Entwicklerboard soll wie Io.js verwaltet werden

  4. Hack auf Datingplattform

    Sexuelle Vorlieben von Millionen Menschen veröffentlicht

  5. Angriff auf kritische Infrastrukturen

    Bundestag, bitte melden!

  6. Mark Shuttleworth

    Canonical erwägt offenbar Börsengang

  7. Amazon

    Fire TV Stick für 29 Euro

  8. Umfrage

    US-Bürger misstrauen Regierung beim Umgang mit Daten

  9. Mozilla

    Firefox personalisiert Werbung mit Browserverlauf

  10. Tracking auf Unternehmensseiten

    Verbraucherschützern gefällt der Gefällt-mir-Knopf nicht



Haben wir etwas übersehen?

E-Mail an news@golem.de



Parrot Bebop im Test: Die Einstiegsdrohne
Parrot Bebop im Test
Die Einstiegsdrohne
  1. Hycopter Wasserstoffdrohne soll vier Stunden fliegen
  2. Drohne Der Origami-Copter aus der Schweiz
  3. Filmindustrie James Cameron unterstützt Drohnenwettbewerb

Telekom und BND angezeigt: Es leakt sich was zusammen
Telekom und BND angezeigt
Es leakt sich was zusammen
  1. Überwachung Kongress will NSA-Bespitzelung in den USA einschränken
  2. BND-Affäre Wikileaks veröffentlicht Protokolle des NSA-Ausschusses
  3. Cybersicherheit Russland und China vereinbaren No-Hacking-Abkommen

The Witcher 3 im Grafiktest: Mehr Bonbon am PC
The Witcher 3 im Grafiktest
Mehr Bonbon am PC
  1. Rockstar Games GTA 5 schafft die 52-Millionen-Marke
  2. The Witcher 3 im Test Wunderschönes Wohlfühlabenteuer
  3. The Witcher 3 30 weitere Stunden mit Geralt von Riva

  1. Re: Bevor der Shitstorm losgeht ...

    plutoniumsulfat | 01:35

  2. Verhältnis Männer / Frauen

    Forkbombe | 01:23

  3. Re: Spy durch Like vs. Spy durch Werbung

    Nibbels | 01:14

  4. Re: UBER ist die Zukunft

    DrWatson | 01:09

  5. Re: Meine Erfahrung: Die Technik ist noch nicht...

    crazypsycho | 00:54


  1. 18:43

  2. 15:32

  3. 15:26

  4. 15:09

  5. 14:21

  6. 14:08

  7. 13:54

  8. 13:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel