Die Trafficanalyse-Software Piwik ist ins Gerede gekommen und der Verdacht, dass sich in der Software eine Backdoor befindet, wurde bestätigt.
Über diese Backdoor können Angreifer das System vollständig kontrollieren. Wir wollen erklären, wie Sie feststellen können, ob Ihr System diese Backdoor enthält:
Offensichtlich war das Download-Paket der aktuellen Version 1.9.2 auf dem offiziellen Server mit der Backdoor versehen. Wer in den letzten Wochen diese Version von Piwik heruntergeladen hat, könnte betroffen sein.
Am Ende der Datei /piwik/core/Loader.php stehen bei der Backdoor-Version Befehle, die Base64-codiert sind und nach dem Auspacken Daten an den Webserver prostoivse.com übertragen. Die Dateien /piwik/core/DataTable/Filter/Megre.php und lic.log legt dieser Code an.
Am besten sucht man nach dem String „eval(gzuncomprress(base64_decode“ im Piwik-Verzeichnis. Das ist der Anfang der Befehlszeile, die den Schadcode in Loader.php entpackt.
Wer diesen Code findet, sollte sein Piwik vorsichtshalber deaktivieren. Mehr Informationen zu dem Thema finden sich in den Foren von Piwik.
