LINUX.ORG.RU

В поставке открытого проекта Piwik обнаружен бэкдор

 ,


0

0

В свободном пакете для web-аналитики Piwik, позиционируемом в роли открытого аналога Google Analytics, выявлено наличие бэкдора. При помощи установленного бэкдора злоумышленники имели возможность контролировать системы, на которых для анализа посещаемости был установлен PHP-код Piwik. Вредоносный код находился в архиве последней версии Piwik 1.9.2 в течение нескольких часов (релиз 1.9.2 вышел 9 ноября).

Вредоносный код был включен неизвестными злоумышленниками в zip-архив, доступный для загрузки с сайта проекта. Код для получения доступа к системе был интегрирован в файл piwik/core/Loader.php, бэкдор был оформлен в виде прикреплённого в конец файла набора данных, закодированных методом base64, декодирование и вызов которых осуществлялся в процессе работы приложения. Вредоносный код осуществлял отправку данных на подконтрольный злоумышленникам сервер, информируя о появлении новой жертвы, и путем манипуляций с файлом piwik/core/DataTable/Filter/Megre.php открывал доступ к форме для выполнения на сервере произвольного PHP-кода.

Изначально бэкдор присутствовал в официальном архиве latest.zip, в данный момент вредоносный код из архива уже удалён. Так как удаление бэкедора произведено без смены нумерации версии и без переименования архива, следует обратить особое внимание при установке Piwik. Наличие вредоносного кода можно определить путем поиска в файле piwik/core/Loader.php строки «eval(gzuncompress(base64_decode(», осуществляющей декодирование бэкдора. Пользователям Piwik рекомендуется срочно проверить наличие бэкдора и в случае его присутствия провести полный аудит безопасности своих систем. Разработчики Piwik пока только приступили к разбору инцидента, путь внедрения бэкдора ещё не ясен.

Дополнение: Разработчики Piwik сообщили, что подстановка бэкдора была совершена в результате взлома сайта, который был осуществлён через содержащий уязвимость плагин к системе управления контентом WordPress. Сообщается, что взлом был совершён 26 ноября и содержащий бэкдор архив распространялся всего несколько часов, с 19:43 26 ноября по 3:59 часов 27 ноября по московскому времени.

Ист

Пронесло... Но вообще - тех, кто так атакует опенсорс, хочется заставить давиться собственными яйцами.

pekmop1024 ★★★★★
()

бэкдор был оформлен в виде прикреплённого в конец файла набора данных, закодированных методом base64, декодирование и вызов которых осуществлялся в процессе работы приложения

Вот, а не занимались бы этой ерундой по своей глупой кулкакерской привычке и просто дописали бы код — никто бы ничего и не заметил.

PolarFox ★★★★★
()
Ответ на: комментарий от blokant

системы контроля версий, то же самое ядро - лучший пример как подмена файла стала видна

А там, судя по http://dev.piwik.org/trac/browser SVN и используется.

Тут же не в сорцы изменение было внесено, а в релизный архивный файл.

KRoN73 ★★★★★
()
Ответ на: комментарий от blokant

уже говорил: тарболы опасная штука на самопальных сайтах, пусть юзают гит)

Какая разница, git или svn? Тарбол не имеет отношения ни к тому, ни к другому. И точно также на Github'е многие проекты в бинарных архивах сорцы отдают.

KRoN73 ★★★★★
()
Ответ на: комментарий от KRoN73

это не безопасно, нужно хранить на спец.сайтах + на своем сайте, делать дифф между ними и локальной копией и архивы на гитхабе не нужны

blokant ★★
()
Ответ на: комментарий от J

я бы так перефразировал классика: «есть два типа сайтов\софта: которые ломают и которые никто не использует»

blokant ★★
()
Ответ на: комментарий от blokant

а что там с ним?

Там SCV - юнит у людей, который выполняет всякую грязную работу: добывает ресурсы, строит, чинит.

HerrWeigel ★★★★
()
Ответ на: комментарий от KRoN73

А ЛОР когда ломали?

Его же вроде каждый месяц по расписанию, не? Что-то вроде кварцевания.

HerrWeigel ★★★★
()
Ответ на: комментарий от pekmop1024

Интересно, может ли он отображаться время, проведенное пользователем на странице? А также отсылать положение курсора в окне и нажатий клавиш.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от pekmop1024

Время захода показывает или периодически отсылает «пинг» серверу для обновления времени? Т.е. в случае одной-единственной страницы можно время захода и ухода узнать или нет?

ktulhu666 ☆☆☆
()
Ответ на: комментарий от ktulhu666

Не разбирался, как. Ну там обычный жабаскрипт, как у аналитикса и метрики.

pekmop1024 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.