Update: WordPress-Plug-in schuld an Piwik-Panne
Kommentare

Gestern Nachmittag hat ein Hacker über das WordPress-Plug-in von Piwik.org eine kompromittierte Version des Pakets „latest.zip“ von Piwik 1.9.2 eingeschleust. Dies wurde zunächst im offiziellen Forum

Gestern Nachmittag hat ein Hacker über das WordPress-Plug-in von Piwik.org eine kompromittierte Version des Pakets „latest.zip“ von Piwik 1.9.2 eingeschleust. Dies wurde zunächst im offiziellen Forum des Website-Analyse-Tools bekanntgegeben. Das Paket war für acht Stunden im Umlauf.

Erkennbar macht sich die Piwik-Sicherheitslücke über die Datei „piwik/core/DataTable/Filter/Megre.php“, einem Shell-Kommando-Starter. Außerdem offenbart sich die kompromittierte Piwik 1.9.2 über die letzten sechs Zeilen von „piwik/core/Loader.php“, beginnend mit <?php Error_Reporting(0); und endend mit eval(gzuncompress(base64_decode(‚eF…. Entfernt man diese beiden Modifikationen, sollte Piwik wieder sauber sein. Im letzten Post wird versprochen, dass das jüngste Zip-Paket bereinigt sei und die gezinkte Version offline genommen wurde.

Piwik 1.9.2 Backdoor entfernen

Im jüngsten Blog-Post auf Piwik.org wird dazu geraten, ein Backup Eurer piwik/config/config.ini.php anzulegen und anschließend das komplette Piwik-Verzeichnis vom Server zu löschen. Hinterher könnt Ihr die fehlerfreie Zip-Datei an derselben Stelle entpacken und Eure ini wieder einfügen, womit Piwik wie gewohnt (und ohne Hintertürchen) laufen sollte.

Wer also ungebetenen Besuch auf seinem Server vermeiden möchte, der sollte schnell seine Piwik-Version auf die oben erwähnten „Features“ untersuchen und am sichersten den Piwik-Code via GitHub beziehen. Dort werden die Dateien zwar auch nicht auf Schadcode untersucht, aber immerhin wird der Committer öffentlich identifiziert. Wer vergleichbare Sicherheitslücken im Piwik-Code findet, kann beim Bug Bounty Program mitmachen und Kopfgeld einstreichen.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -