27/11/2012
Jeśli pobieraliście wczoraj (26 listopada) Piwika z jego oficjalnych serwerów, jak najszybciej przejrzycie swoją instalację tego oprogramowania. Ktoś wstrzyknął do niego backdoora…
Które pliki zawierają złośliwy kod?
Piwik to dość popularna, darmowa, open source’owa alternatywa dla Google Analytics. Okazuje się jednak, że jeden z internautów znalazł w kodzie tego oprogramowania, w pliku /piwik/core/Loader.php, podejrzaną, zakodowaną w base64 procedurę, która przesyłała na serwer prostoivse.com wykradzione dane.
Piwik
Jakby tego było mało, zbackdoorowana instalacja Piwika ustawia plik lic.log” oraz aktywuje plik /piwik/core/DataTable/Filter/Megre.php, który może posłużyć do wgrania na serwer dowolnego pliku (w tym, webshella, który pozwoli na odpalanie dowolnych komend na serwerze ofiary).
Która wersja Piwika zawiera backdoora?
Wersją, w której zidentyfikowano złośliwe funkcje jest najnowsza wersja 1.9.2. Aby sprawdzić, czy nasza instalacja Piwika jest “zainfekowana”, należy zweryfikować, czy w pliku /piwik/core/Loader.php znajduje się linijka:
eval(gzuncompress(base64_decode(‘
Jeśli znajdziecie tę linijkę, należy przeprowadzić analizę powłamaniową i przeinstalować Piwika (obecnie wystawiona na stronie projektu wersja Piwika jest ponoć wolna od backdoora).
Dyskusja dot. tego ataku trwa na forum Piwika, a developerzy projektu opublikowali wpis na blogu dotyczący tego incydentu. Wynika z niego, że atakujący dostali się na serwery Piwika poprzez dziurę w jednym z pluginów WordPressa.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Wystarczy usunąć tę linijkę czy trzeba czekać na update? Bo ja bym chętnie zassał sobie tą aplikację (dowiedziałem się o niej właśnie teraz), tylko nie mogę znaleźć wersji poprzedniej. I nie wiem czy czekać czy samemu ingerować w kod czy szukać na GitHubie wcześniejszej wersji.
Na serwerze jest już czysta wersja, więc możesz pobierać paczkę ze strony.
sorry to ja już wolę google analytics…
Używa ktoś piwika? Jak to się ma do google analytics?
Aplikacja jednym słowem świetna. Funkcjonalność w zasadzie identyczna jak u Google.
Piwik nie znam ale chętnie się zapoznam. Backdora ktoś z dostępem musiał wsadzić więc niech szukają w osobach które przy tym robią. A propo, coś się wam porobiło z wstawianiem newsów bo ten jest nowszy a poniżej starszego się znajduje.
@Blue Marble ma sie tak, ze masz statystki w czasie rzeczywistym. I google nie wie zna statystyk Twojej strony (dla jednych to wada dla drugich zaleta). @Rafau, musisz zrobic “analize powłamaniową”. Czyli poza wywaleniem linijki sprawdzic czy nie masz juz webshella i czy inne pliki na serwerze nie sa podmienione. Najlepiej wywal calego piwika, i wgraj na nowo. Pozniej porownaj diff -u plików z backupu z tymi co masz na serwerze. Jezeli masz swojego slabo zabezpieczonego dedyka, jest prawdopodobienstwo, ze mogli nabroic w systemie. Sprawdz reguly, poblokuj porty, sprawdz ps, cron, i zainstaluj chkrootkit.
Czytaj ze zrozumieniem. Przecież Rafau napisał, ze nie używał Piwika i dopiero chce zainstalować. Co ma analizować i jak ma odinstalować soft którego nie ma?
A co to jest ten Piwik? Wypadałoby napisać, nie każdy musi wiedzieć… Nie jest to jakas powszechnie znana nazwa.
@Blue Marble: ja używam :). Piwik ma zbliżone możliwości, choć pewne rzeczy rozwiązane są inaczej. W GA np. widzisz przepływ użytkowników jako taka uśredniona ścieżka: dokąd i skąd najczęściej się przechodzi. W Piwiku natomiast masz konkretne podstrony, które odwiedził każdy użytkownik (identyfikacja aż do konkretnych odwiedzających), co czasem daje możliwość zidentyfikowania konkretnej osoby (np. jak dostałem maila z formularza kontaktowego na stronie, to po IP mogłem zobaczyć, które delikwent mi strony najpierw oglądał i ustosunkować się, jeśli jest to zasadne). Interfejs jest trochę inny, ale moim zdaniem przejrzystszy. No i moim zdaniem najważniejsza rzecz: baza danych jest Twoja, na Twoim serwerze i nic Gugielowi do niej. Natomiast Piwik ma też parę wad, o których należy bezwzględnie pamiętać. Jeśli zależy Ci na analizie słów kluczowych, to korzystaj z GA albo Piwik + Google Webmaster Tools, bo sam Piwik nie dostaje od Gugiela info o szukanych frazach (Gugiel nie udostępnia). Zapomnij też o integracji z kampaniami AdWords. Geolokalizacja też nie jest tak dokładna, jak w GA – o ile konkretnych użytkowników lokalizuje co do miasta, to widżet mapy pokazuje tylko kraje. No i ostatnia rzecz: Google ogólnie nie lubi Piwika i zauważyłem, że Chrome lubi odmówić pobrania jego skryptu. Pisałem o tym (jak i o obejściu problemu) na moim blogu jakiś czas temu: http://dominikmarczuk.pl/2012/10/problem-ze-skryptem-piwik-1-9-1-w-chrome Pozdrawiam.
Wiadomo już o który plugin WP chodzi?
http://forum.piwik.org/read.php?2,97666,page=1#msg-97723
“I’m here to say that you obviously got pwned by so-called Russian Hackers.
Whois details says “Email: ebaka@prostoivse.com”
Well, “prostoivse” gives us “просто и все” which is stands for “it’s just simple”.
And “ebaka” stands for “f-cker”.”
Pzdr
[…] przechowujących kod źródłowy, należy wziąć pod uwagę, że mogli go tak zmodyfikować, aby dopisać do niego backdoora. Adobe podobno zweryfikowało kod produktów i stwierdziło, że ich integralność nie została […]