В поставке открытого проекта Piwik обнаружен бэкдор

27.11.2012 14:57

В свободном пакете для web-аналитики Piwik, позиционируемом в роли открытого аналога Google Analytics, выявлено наличие бэкдора. При помощи установленного бэкдора злоумышленники имели возможность контролировать системы, на которых для анализа посещаемости был установлен PHP-код Piwik. Вредоносный код находился в архиве последней версии Piwik 1.9.2 в течение нескольких часов (релиз 1.9.2 вышел 9 ноября).

Вредоносный код был включен неизвестными злоумышленниками в zip-архив, доступный для загрузки с сайта проекта. Код для получения доступа к системе был интегрирован в файл piwik/core/Loader.php, бэкдор был оформлен в виде прикреплённого в конец файла набора данных, закодированных методом base64, декодирование и вызов которых осуществлялся в процессе работы приложения. Вредоносный код осуществлял отправку данных на подконтрольный злоумышленникам сервер, информируя о появлении новой жертвы, и путем манипуляций с файлом piwik/core/DataTable/Filter/Megre.php открывал доступ к форме для выполнения на сервере произвольного PHP-кода.

Изначально бэкдор присутствовал в официальном архиве latest.zip, в данный момент вредоносный код из архива уже удалён. Наличие вредоносного кода можно определить путем поиска в файле piwik/core/Loader.php строки "eval(gzuncompress(base64_decode(", осуществляющей декодирование бэкдора. Пользователям Piwik рекомендуется срочно проверить наличие бэкдора и в случае его присутствия провести полный аудит безопасности своих систем. Разработчики Piwik пока только приступили к разбору инцидента, путь внедрения бэкдора ещё не ясен.

Дополнение: Разработчики Piwik сообщили, что подстановка бэкдора была совершена в результате взлома сайта, который был осуществлён через содержащий уязвимость плагин к системе управления контентом WordPress. Сообщается, что взлом был совершён 26 ноября и содержащий бэкдор архив распространялся всего несколько часов, с 19:43 26 ноября по 3:59 часов 27 ноября по московскому времени.

исправить +11 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/35435-piwik

Ключевые слова: piwik, backdoor

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (31)

1.1, EuPhobos (ok), 16:05, 27/11/2012 [ответить] [﹢﹢﹢] [ · · · ]	+14 +/–
> Так как удаление бэкедора произведено без смены нумерации версии и без переименования архива ... Типа "Я не я, и бэкдор не моя" ?! Могли б хоть добавить букву в версию уж.. Иль стыдно блин? Надеюсь хоть чек-сум есть.

2.3, Xasd (ok), 16:15, 27/11/2012 [^] [^^] [^^^] [ответить]

+2 +/–

> Могли б хоть добавить букву в версию уж.. Иль стыдно блин?

если бэкдор был добавлен в момент сразу-после-публикации программы (а не в момент разработки) -- то номер версии тут не причём.

ведь на компьютере главного разработчика -- наверно архив с программой (latest.zip) -- без бэкдора.

...ну или по крайней мере главный разработчик хочет *сделать_вид* что без бэкдора :-D ..

3.28, NikolayV81 (?), 09:34, 28/11/2012 [^] [^^] [^^^] [ответить]	+1 +/–
Новость про проблему прочитают не все, а вот новую версию может увидеть гораздо большее кол-во пользователей...

1.2, Xasd (ok), 16:05, 27/11/2012 [ответить] [﹢﹢﹢] [ · · · ]

–5 +/–

> бэкдор был оформлен в виде прикреплённого в конец файла набора данных, закодированных методом base64, ...

нет, ну PHP-сообщество меня не перестаёт удивлять!! :-)

неужеле вы функцию base64_decode() используете ТОЛЬКО для того чтобы вредоносный код подсовывать??? (или полу-вредоносый -- например подстановка SEO-ссылки-на-сайт-автора через множетсвенный рекурсивно-вложенный eval(base64_decode()))

хоть одна ПОЛЕЗНАЯ практика применения base64_decode() -- существует для PHP-сообщества ?? :-D :-D

2.4, Аноним (-), 16:21, 27/11/2012 [^] [^^] [^^^] [ответить]	–9 +/–
> нет, ну PHP-сообщество меня не перестаёт удивлять!! :-) А чем они такие особенные? Вон фрибсдшников недавно ломанули - это вас не удивляет? Или бэкдор в unreal ircd?

3.6, IMHO (?), 16:35, 27/11/2012 [^] [^^] [^^^] [ответить]	+1 +/–
вторжение было в инфраструктуру, сервак не порутали

3.7, Xasd (ok), 16:37, 27/11/2012 [^] [^^] [^^^] [ответить]

–2 +/–

>> нет, ну PHP-сообщество меня не перестаёт удивлять!! :-)
> А чем они такие особенные?

тем что весьма-полезная функциональность base64 -- на практике в PHP используется -- *только* для гнусных деяний [обфускация бэкдоров] :) ..

> Вон фрибсдшников недавно ломанули - это вас не удивляет? Или бэкдор в unreal ircd?

но ведь не с последующим применением base64 ?! :-)

4.16, samm (ok), 18:07, 27/11/2012 [^] [^^] [^^^] [ответить]	+4 +/–
>тем что весьма-полезная функциональность base64 -- на практике в PHP используется -- только для гнусных деяний [обфускация бэкдоров] :) .. Вы сами придумали глупость и пытаетесь используя данный аргумент спорить с окружающими. Тот же base64 используется и для webmail клиентов и там, где надо получить данные в 7-битном виде. Короче, очень много где. В данном проекте оно не использовалось, что и позволило дать рекомендацию поиска данной функции для проверки наличия трояна.

3.15, нононимо (?), 18:04, 27/11/2012 [^] [^^] [^^^] [ответить]	+1 +/–
> Вон фрибсдшников недавно ломанули - это вас не удивляет? ключ украли, вообщето

4.19, ZloySergant (ok), 19:44, 27/11/2012 [^] [^^] [^^^] [ответить]	+1 +/–
>ключ украли, вообщето Простите пожалуйста, он что на видном месте лежал, и за ним никто таки не следил?

5.27, Аноним (-), 07:21, 28/11/2012 [^] [^^] [^^^] [ответить]	+/–
Школяр? Какой бы не был навороченный замок - если к нему придут с ключом - он откроется.

6.36, XoRe (ok), 19:11, 29/11/2012 [^] [^^] [^^^] [ответить]	+/–
> Школяр? Какой бы не был навороченный замок - если к нему придут > с ключом - он откроется. Очень по теме :)

2.18, Фкуку (?), 19:08, 27/11/2012 [^] [^^] [^^^] [ответить]	+/–
>> ПОЛЕЗНАЯ практика... А чем доставка payload'ов неполезна? Самая полезнейшая функция.

2.29, kurokaze (ok), 10:07, 28/11/2012 [^] [^^] [^^^] [ответить]	+/–
толсто же

1.9, linux _RIP_ (?), 16:59, 27/11/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
напоминает автоматизированный троян, когда просто ушел пароль от ftp куда заливали файлик архива.

1.10, anonymous (??), 17:08, 27/11/2012 [ответить] [﹢﹢﹢] [ · · · ]

+/–

emerge -s piwik
Searching...
[ Results for search key : piwik ]
[ Applications found : 0 ]

aptitude search piwik - пусто.

Неуловимый Джо?

2.20, Crazy Alex (ok), 20:17, 27/11/2012 [^] [^^] [^^^] [ответить]	+/–
Системка сама весьма неплохая, кстати

2.22, mavriq_ (?), 00:15, 28/11/2012 [^] [^^] [^^^] [ответить]	+/–
искать надо уметь $ eix -R piwik * www-apps/piwik Available versions: (1.2) ~1.2[1] (1.2.1) ~1.2.1[1] (1.4) ~1.4[1] (1.4-r1) ~1.4-r1[1] (1.5) ~1.5[1] (1.5.1) ~1.5.1[1] (1.6) ~1.6[1] (1.7) ~1.7^m[2] (1.7.1) ~1.7.1[1] ~1.7.1^m[2] (1.8) ~1.8^m[2] (1.8.2) ~1.8.2[1] (1.8.4) ~1.8.4[1] (1.8.4-r1) ~1.8.4-r1[1] {{vhosts}} Homepage: http://www.piwik.org/ Description: Piwik is a downloadable, open source (GPL licensed) real time web analytics software program. [1] "jaervosz" layman/jaervosz [2] "moonrise" layman/moonrise

3.25, Аноним (-), 04:09, 28/11/2012 [^] [^^] [^^^] [ответить]	+/–
Ну конечно "искать надо уметь", особенно, если у Вас подключен локальный репозиторий. Ведь он у всех подключён. [sarcasm-mode off]

1.12, axe (??), 17:41, 27/11/2012 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Скорее всего поимели виндовую машину разработчика, как обычно.

1.14, Илья (??), 18:03, 27/11/2012 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Новость как-то не до конца. Суть в том, что сервер вчера был взломан, и кто-то подменил latest.zip архивом с вредоносным кодом. Дистрибутив вернули сразу после обнаружения, т.е. номера версий здесь ни при чём. Затронуты только пользователи, скачавшие дистрибутив вчера во второй половине дня, инструкции по проверке здесь: http://piwik.org/blog/2012/11/security-report-piwik-org-webserver-hacked-for-

1.21, JL2001 (ok), 21:12, 27/11/2012 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
пробаянюсь на тему "неуязвимости репозиториев" и на тему необходимости защиты данных пользователя и программ от других программ (установленных тем же пользователем) что, опять ненужно ?

2.23, Аноним (-), 01:44, 28/11/2012 [^] [^^] [^^^] [ответить]	+/–
lol ! php от php защищать будешь ?

3.34, JL2001 (ok), 05:03, 29/11/2012 [^] [^^] [^^^] [ответить]	+/–
> php от php защищать будешь ? скорее требуется подход "один пакет от другого пакета"

2.24, anonymous (??), 01:54, 28/11/2012 [^] [^^] [^^^] [ответить]

+/–

>от других программ (установленных тем же пользователем)

apparmor же

3.32, JL2001 (ok), 15:40, 28/11/2012 [^] [^^] [^^^] [ответить]	+/–
>>от других программ (установленных тем же пользователем) > apparmor же и много у вас профилей аппармора ? дайте мне профиль для http://unixforum.org/index.php?showtopic=112461 deb программы есть, профиля аппармора чтот не видно, что делать ?

2.26, Crazy Alex (ok), 06:17, 28/11/2012 [^] [^^] [^^^] [ответить]	+2 +/–
Найдите, где в новости репозиторий? Они-то как раз хорошо защищены - подписи, хэши,длительный срок нахождения пакетов в тестовых ветках... Например, этот же зараженный piwik ни при каких раскладах в дистрибутивах (как минимум stable) не оказался бы.

3.31, JL2001 (ok), 15:38, 28/11/2012 [^] [^^] [^^^] [ответить]	+/–
> Найдите, где в новости репозиторий? Они-то как раз хорошо защищены а что делать если нет программки в репозитории дистрибутива ? мне вот нужна вот эта "программка" у которой есть только deb и никакого репозитория, даж от автора, не то что в дистрибутиве http://unixforum.org/index.php?showtopic=112461

1.30, chupnik (ok), 11:16, 28/11/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Апдейтился до 1.9.2 - ничего подозрительного не обнаружено. Видимо только при установке из дистра.

1.35, arisu (ok), 14:22, 29/11/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
ничего, лет через 20 «разработчики на похапэ» узнают о том, что архивы можно подписывать приватным ключом, например. совсем недолго ждать осталось.

1.37, Анонист (?), 19:26, 30/11/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
eval(base64_decode()) exec(base64_decode()) LOL

игнорирование участников | лог модерирования

Добавить комментарий

Текст: