Backoor im Piwik-Code aufgetaucht
Backoor im Piwik-Code aufgetaucht (Bild: Piwik)

Webanalyse Backdoor in Piwik

Die freie Web-Analyse-Software Piwik enthielt eine Hintertür, die es Angreifern ermöglichte, beliebigen PHP-Code auf einem Server auszuführen. Mittlerweile steht eine korrigierte Version zum Download bereit.

Anzeige

Die Piwik-Macher haben die kompromittierte Version von Piwik 1.9.2 gegen eine korrigierte Version ausgetauscht. Dem Golem.de-Leser Max Grobecker war in der Datei /piwik/core/Loader.php ein ungewöhnlicher Codeblock aufgefallen. Der mit Base64 codierte und mit gzip komprimierte Code sendet den Hostnamen und die Piwik-URL des jeweiligen Servers an einen Server und legt im selben Verzeichnis die Datei lic.log ab, die das Wort "piwik" enthält. Solange diese Datei existiert, werden laut Grobecker keine Anfragen mehr an den besagten Server geschickt, vermutlich um die Last auf dem System so gering wie möglich zu halten.

Darüber hinaus wird eine Backdoor geöffnet, mit der der Angreifer beliebigen PHP-Code auf dem Server ausführen kann, die notwendige URL schickt das System schließlich an dessen Server. Dazu wird ein regulärer Ausdruck mit /e-Modifikator verwendet. So ist es beispielsweise möglich, den Inhalt von htpasswd-Dateien anzuzeigen oder eine eigene PHP-Datei irgendwo innerhalb des Webspaces abzulegen und darin eigenen Code auszuführen, sofern der Webserver über Schreibrechte verfügt.

Das Problem wird lediglich im Piwik-Forum diskutiert, eine entsprechende prominente Warnung findet sich auf der Piwik-Website bislang nicht. Wer Piwik in der letzten Zeit installiert hat, sollte seine Installation prüfen. Zudem ist unklar, wie der entsprechende Code im offiziellen Piwik-Archiv landen konnte.

Nachtrag vom 27. November 2012, 13:35 Uhr

Die Piwik-Entwickler haben mittlerweile einen "Security Report" zu dem Vorfall veröffentlicht. Demnach wurde der Piwik-Webserver am gestrigen 26. November kompromittiert und das Zip-Archiv mit der aktuellen Piwik-Version ausgetauscht. Demnach stand die von dem Angreifer modifizierte Version der Software nur für einige Stunden zum Download bereit.

Wer Piwik gestern zwischen 16:43 Uhr und Mitternacht heruntergeladen hat, sollte seine Installation prüfen; wer die Software davor oder danach heruntergeladen hat, sollte sicher sein. Woran eine kompromittierte Installation zu erkennen ist, beschreiben die Piwik-Macher in ihrem Sicherheitsbericht.

Der Angriff auf den Piwik-Server erfolgt dem Bericht zufolge durch eine Sicherheitslücke in einem Wordpress-Plugin, das auf der Seite eingesetzt wurde.


mbirth 28. Nov 2012

Mein Update war am 24.11. 20:27 Uhr und dort ist die Loader.php auch sauber.

Lala Satalin... 27. Nov 2012

Und Windows?

berritorre 27. Nov 2012

Was ist denn das für eine Aussage? Surprise, surprise! Natürlich wird die Serverlast...

Kommentieren


Bernd & Björn's Blog / 27. Nov 2012

Piwik - Beliebte Web analytics Software kompromittiert



Anzeige

  1. Re­quire­ments-In­ge­nieur (m/w)
    S1nn GmbH & Co. KG, Stutt­gart
  2. Webentwickler (m/w) für mobile Anwendungen
    ibau GmbH, Münster
  3. IT Projektleiter (m/w)
    AVL DiTEST über M & P Leading Search Partners GmbH, Fürth
  4. Referatsleiter/in ABS Workflow and Batch Services in ABS Cross Functional Services
    Allianz Managed Operations & Services SE, Stuttgart

 

Detailsuche


Folgen Sie uns
       


  1. Kein Verkaufsstopp

    Medion-Tablet kommt doch in alle Aldi-Filialen

  2. Snapdragon 810

    Erstes Smartphone mit 4 GByte RAM und USB 3.0

  3. Cross-Site-Scripting

    Kritische Wordpress-Lücke betrifft 86 Prozent der Seiten

  4. NSA-Ausschuss

    Meisterschule für Geheimniskrämer

  5. Lightpaper

    Rohinni druckt Leuchtdioden

  6. Fusion

    Telefónica will O2 verkaufen

  7. Intel-Roadmap

    Neue Prozessoren erscheinen gestaffelt

  8. Wiko Highway 4G

    Smartphone mit LTE und 16-Megapixel-Kamera für 330 Euro

  9. Android 5.0

    Root für Lollipop ohne neuen Kernel

  10. User Agent

    Nach Windows 6.2 kommt Windows 10.0



Haben wir etwas übersehen?

E-Mail an news@golem.de



Test Far Cry 4: Action und Abenteuer auf hohem Niveau
Test Far Cry 4
Action und Abenteuer auf hohem Niveau

Zbox Pico im Test: Der Taschenrechner, der fast alles kann
Zbox Pico im Test
Der Taschenrechner, der fast alles kann

Core M-5Y70 im Test: Vom Turbo zur Vollbremsung
Core M-5Y70 im Test
Vom Turbo zur Vollbremsung
  1. Benchmark Apple und Nvidia schlagen manchmal Intels Core M
  2. Prozessor Schnellster Core M erreicht bis zu 2,9 GHz
  3. Die-Analyse Intels Core M besteht aus 13 Schichten

    •  / 
    Zum Artikel