В свободном пакете для web-аналитики Piwik (http://piwik.org/), позиционируемом в роли открытого аналога Google Analytics, выявлено (http://forum.piwik.org/read.php?2,97666) наличие бэкдора. При помощи установленного бэкдора злоумышленники имели возможность контролировать системы, на которых для анализа посещаемости был установлен PHP-код Piwik. Вредоносный код находился в архиве последней версии Piwik 1.9.2 (http://piwik.org/blog/2012/11/piwik-1-9-2/) в течение нескольких недель (релиз 1.9.2 вышел 9 ноября).
Вредоносный код был включен неизвестными злоумышленниками в zip-архив, доступный загрузки с сайта проекта. Код для получения доступа к системе был интегрирован в файл piwik/core/Loader.php, бэкдор был оформлен в виде прикреплённого в конец файла набора данных, закодированных методом base64, декодирование и вызов которых осуществлялся в процессе работы приложения. Вредоносный код осуществлял отправку данных на подконтрольный злоумышленникам сервер, информируя о появлении новой жертвы, и путем манипуляций с файлом piwik/core/DataTable/Filter/Megre.php открывал доступ к форме для выполнения на сервере произвольного PHP-кода.
Ещё несколько часов назад бэкдор присутствовал в официальном архиве latest.zip, в данный момент вредоносный код из архиве уже удалён. Так как удаление бэкедора произведено без смены нумерации версии и без переименования архива, следует обратить особое внимание при установке Piwik. Наличие вредоносного кода можно определить путем поиска в файле piwik/core/Loader.php строки "eval(gzuncompress(base64_decode(", осуществляющей декодирование бэкдора. Пользователям Piwik рекомендуется срочно проверить наличие бэкдора и в случае его присутствия провести полный аудит безопасности своих систем. Разработчики Piwik пока только приступили к разбору инцидента, путь внедрения бэкдора ещё не ясен.
URL: http://www.h-online.com/open/news/item/Backdoor-found-in-Piw...
Новость: http://www.opennet.me/opennews/art.shtml?num=35435
> Так как удаление бэкедора произведено без смены нумерации версии и без переименования архива ...Типа "Я не я, и бэкдор не моя" ?!
Могли б хоть добавить букву в версию уж.. Иль стыдно блин?
Надеюсь хоть чек-сум есть.
> Могли б хоть добавить букву в версию уж.. Иль стыдно блин?если бэкдор был добавлен в момент сразу-после-публикации программы (а не в момент разработки) -- то номер версии тут не причём.
ведь на компьютере главного разработчика -- наверно архив с программой (latest.zip) -- без бэкдора.
...ну или по крайней мере главный разработчик хочет *сделать_вид* что без бэкдора :-D ..
Новость про проблему прочитают не все, а вот новую версию может увидеть гораздо большее кол-во пользователей...
> бэкдор был оформлен в виде прикреплённого в конец файла набора данных, закодированных методом base64, ...нет, ну PHP-сообщество меня не перестаёт удивлять!! :-)
неужеле вы функцию base64_decode() используете ТОЛЬКО для того чтобы вредоносный код подсовывать??? (или полу-вредоносый -- например подстановка SEO-ссылки-на-сайт-автора через множетсвенный рекурсивно-вложенный eval(base64_decode()))
хоть одна ПОЛЕЗНАЯ практика применения base64_decode() -- существует для PHP-сообщества ?? :-D :-D
> нет, ну PHP-сообщество меня не перестаёт удивлять!! :-)А чем они такие особенные? Вон фрибсдшников недавно ломанули - это вас не удивляет? Или бэкдор в unreal ircd?
вторжение было в инфраструктуру, сервак не порутали
>> нет, ну PHP-сообщество меня не перестаёт удивлять!! :-)
> А чем они такие особенные?тем что весьма-полезная функциональность base64 -- на практике в PHP используется -- *только* для гнусных деяний [обфускация бэкдоров] :) ..
> Вон фрибсдшников недавно ломанули - это вас не удивляет? Или бэкдор в unreal ircd?
но ведь не с последующим применением base64 ?! :-)
>тем что весьма-полезная функциональность base64 -- на практике в PHP используется -- *только* для гнусных деяний [обфускация бэкдоров] :) ..Вы сами придумали глупость и пытаетесь используя данный аргумент спорить с окружающими. Тот же base64 используется и для webmail клиентов и там, где надо получить данные в 7-битном виде. Короче, очень много где. В данном проекте оно не использовалось, что и позволило дать рекомендацию поиска данной функции для проверки наличия трояна.
> Вон фрибсдшников недавно ломанули - это вас не удивляет?ключ украли, вообщето
>ключ украли, вообщетоПростите пожалуйста, он что на видном месте лежал, и за ним никто таки не следил?
Школяр? Какой бы не был навороченный замок - если к нему придут с ключом - он откроется.
> Школяр? Какой бы не был навороченный замок - если к нему придут
> с ключом - он откроется.Очень по теме :)
>> ПОЛЕЗНАЯ практика...А чем доставка payload'ов неполезна?
Самая полезнейшая функция.
толсто же
напоминает автоматизированный троян, когда просто ушел пароль от ftp куда заливали файлик архива.
emerge -s piwik
Searching...
[ Results for search key : piwik ]
[ Applications found : 0 ]aptitude search piwik - пусто.
Неуловимый Джо?
Системка сама весьма неплохая, кстати
искать надо уметь
$ eix -R piwik
* www-apps/piwik
Available versions:
(1.2) ~1.2[1]
(1.2.1) ~1.2.1[1]
(1.4) ~1.4[1]
(1.4-r1) ~1.4-r1[1]
(1.5) ~1.5[1]
(1.5.1) ~1.5.1[1]
(1.6) ~1.6[1]
(1.7) ~1.7^m[2]
(1.7.1) ~1.7.1[1] ~1.7.1^m[2]
(1.8) ~1.8^m[2]
(1.8.2) ~1.8.2[1]
(1.8.4) ~1.8.4[1]
(1.8.4-r1) ~1.8.4-r1[1]
{{vhosts}}
Homepage: http://www.piwik.org/
Description: Piwik is a downloadable, open source (GPL licensed) real time web analytics software program.[1] "jaervosz" layman/jaervosz
[2] "moonrise" layman/moonrise
Ну конечно "искать надо уметь", особенно, если у Вас подключен локальный репозиторий. Ведь он у всех подключён. [sarcasm-mode off]
Скорее всего поимели виндовую машину разработчика, как обычно.
Новость как-то не до конца. Суть в том, что сервер вчера был взломан, и кто-то подменил latest.zip архивом с вредоносным кодом. Дистрибутив вернули сразу после обнаружения, т.е. номера версий здесь ни при чём. Затронуты только пользователи, скачавшие дистрибутив вчера во второй половине дня, инструкции по проверке здесь: http://piwik.org/blog/2012/11/security-report-piwik-org-webs.../
пробаянюсь на тему "неуязвимости репозиториев" и на тему необходимости защиты данных пользователя и программ от других программ (установленных тем же пользователем)
что, опять ненужно ?
lol ! php от php защищать будешь ?
> php от php защищать будешь ?скорее требуется подход "один пакет от другого пакета"
>от других программ (установленных тем же пользователем)apparmor же
>>от других программ (установленных тем же пользователем)
> apparmor жеи много у вас профилей аппармора ? дайте мне профиль для http://unixforum.org/index.php?showtopic=112461
deb программы есть, профиля аппармора чтот не видно, что делать ?
Найдите, где в новости репозиторий? Они-то как раз хорошо защищены - подписи, хэши,длительный срок нахождения пакетов в тестовых ветках... Например, этот же зараженный piwik ни при каких раскладах в дистрибутивах (как минимум stable) не оказался бы.
> Найдите, где в новости репозиторий? Они-то как раз хорошо защищеныа что делать если нет программки в репозитории дистрибутива ? мне вот нужна вот эта "программка" у которой есть только deb и никакого репозитория, даж от автора, не то что в дистрибутиве http://unixforum.org/index.php?showtopic=112461
Апдейтился до 1.9.2 - ничего подозрительного не обнаружено. Видимо только при установке из дистра.
ничего, лет через 20 «разработчики на похапэ» узнают о том, что архивы можно подписывать приватным ключом, например. совсем недолго ждать осталось.
eval(base64_decode())
exec(base64_decode())LOL