URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 87485
[ Назад ]

Исходное сообщение
"В поставке открытого проекта Piwik обнаружен бэкдор"

Отправлено opennews , 27-Ноя-12 16:05 
В свободном пакете для web-аналитики Piwik (http://piwik.org/), позиционируемом в роли открытого аналога Google Analytics, выявлено (http://forum.piwik.org/read.php?2,97666) наличие бэкдора. При помощи установленного бэкдора злоумышленники имели возможность контролировать системы, на которых для анализа посещаемости был установлен PHP-код Piwik. Вредоносный код находился в архиве последней версии Piwik 1.9.2 (http://piwik.org/blog/2012/11/piwik-1-9-2/) в течение нескольких недель (релиз 1.9.2 вышел 9 ноября).


Вредоносный код был включен неизвестными злоумышленниками в zip-архив, доступный  загрузки с сайта проекта. Код для получения доступа к системе был интегрирован в файл piwik/core/Loader.php, бэкдор был оформлен в виде прикреплённого в конец файла набора данных, закодированных методом base64, декодирование и вызов которых осуществлялся в процессе работы приложения. Вредоносный код осуществлял отправку данных на подконтрольный злоумышленникам сервер, информируя о появлении новой жертвы, и путем манипуляций с файлом piwik/core/DataTable/Filter/Megre.php открывал доступ к форме для выполнения на сервере произвольного PHP-кода.


Ещё несколько часов назад бэкдор присутствовал в официальном архиве latest.zip, в данный момент вредоносный код из архиве уже удалён. Так как удаление бэкедора произведено без смены нумерации версии и без переименования архива, следует обратить особое внимание при установке Piwik. Наличие вредоносного кода  можно определить путем поиска в файле piwik/core/Loader.php строки "eval(gzuncompress(base64_decode(", осуществляющей декодирование бэкдора. Пользователям Piwik рекомендуется срочно проверить наличие бэкдора  и в случае его присутствия провести полный аудит безопасности своих систем. Разработчики Piwik пока только приступили к разбору инцидента, путь внедрения бэкдора ещё не ясен.


URL: http://www.h-online.com/open/news/item/Backdoor-found-in-Piw...
Новость: http://www.opennet.me/opennews/art.shtml?num=35435


Содержание

Сообщения в этом обсуждении
"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено EuPhobos , 27-Ноя-12 16:05 
> Так как удаление бэкедора произведено без смены нумерации версии и без переименования архива ...

Типа "Я не я, и бэкдор не моя" ?!
Могли б хоть добавить букву в версию уж.. Иль стыдно блин?
Надеюсь хоть чек-сум есть.


"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено Xasd , 27-Ноя-12 16:15 
> Могли б хоть добавить букву в версию уж.. Иль стыдно блин?

если бэкдор был добавлен в момент сразу-после-публикации программы (а не в момент разработки) -- то номер версии тут не причём.

ведь на компьютере главного разработчика -- наверно архив с программой (latest.zip) -- без бэкдора.

...ну или по крайней мере главный разработчик хочет *сделать_вид* что без бэкдора :-D ..


"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено NikolayV81 , 28-Ноя-12 09:34 
Новость про проблему прочитают не все, а вот новую версию может увидеть гораздо большее кол-во пользователей...

"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено Xasd , 27-Ноя-12 16:05 
> бэкдор был оформлен в виде прикреплённого в конец файла набора данных, закодированных методом base64, ...

нет, ну PHP-сообщество меня не перестаёт удивлять!! :-)

неужеле вы функцию base64_decode() используете ТОЛЬКО для того чтобы вредоносный код подсовывать??? (или полу-вредоносый -- например подстановка SEO-ссылки-на-сайт-автора через множетсвенный рекурсивно-вложенный eval(base64_decode()))

хоть одна ПОЛЕЗНАЯ практика применения base64_decode() -- существует для PHP-сообщества ?? :-D :-D


"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено Аноним , 27-Ноя-12 16:21 
> нет, ну PHP-сообщество меня не перестаёт удивлять!! :-)

А чем они такие особенные? Вон фрибсдшников недавно ломанули - это вас не удивляет? Или бэкдор в unreal ircd?


"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено IMHO , 27-Ноя-12 16:35 
вторжение было в инфраструктуру, сервак не порутали

"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено Xasd , 27-Ноя-12 16:37 
>> нет, ну PHP-сообщество меня не перестаёт удивлять!! :-)
> А чем они такие особенные?

тем что весьма-полезная функциональность base64 -- на практике в PHP используется -- *только* для гнусных деяний [обфускация бэкдоров] :) ..

> Вон фрибсдшников недавно ломанули - это вас не удивляет? Или бэкдор в unreal ircd?

но ведь не с последующим применением base64 ?! :-)


"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено samm , 27-Ноя-12 18:07 
>тем что весьма-полезная функциональность base64 -- на практике в PHP используется -- *только* для гнусных деяний [обфускация бэкдоров] :) ..

Вы сами придумали глупость и пытаетесь используя данный аргумент спорить с окружающими. Тот же base64 используется и для webmail клиентов и там, где надо получить данные в 7-битном виде. Короче, очень много где. В данном проекте оно не использовалось, что и позволило дать рекомендацию поиска данной функции для проверки наличия трояна.


"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено нононимо , 27-Ноя-12 18:04 
> Вон фрибсдшников недавно ломанули - это вас не удивляет?

ключ украли, вообщето


"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено ZloySergant , 27-Ноя-12 19:44 
>ключ украли, вообщето

Простите пожалуйста, он что на видном месте лежал, и за ним никто таки не следил?


"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено Аноним , 28-Ноя-12 07:21 
Школяр? Какой бы не был навороченный замок - если к нему придут с ключом - он откроется.

"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено XoRe , 29-Ноя-12 19:11 
> Школяр? Какой бы не был навороченный замок - если к нему придут
> с ключом - он откроется.

Очень по теме :)


"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено Фкуку , 27-Ноя-12 19:08 
>> ПОЛЕЗНАЯ практика...

А чем доставка payload'ов неполезна?
Самая полезнейшая функция.


"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено kurokaze , 28-Ноя-12 10:07 
толсто же

"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено linux _RIP_ , 27-Ноя-12 16:59 
напоминает автоматизированный троян, когда просто ушел пароль от ftp куда заливали файлик архива.

"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено anonymous , 27-Ноя-12 17:08 
emerge -s piwik
Searching...    
[ Results for search key : piwik ]
[ Applications found : 0 ]

aptitude search piwik - пусто.

Неуловимый Джо?


"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено Crazy Alex , 27-Ноя-12 20:17 
Системка сама весьма неплохая, кстати

"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено mavriq_ , 28-Ноя-12 00:15 
искать надо уметь
$ eix -R piwik
* www-apps/piwik
     Available versions:  
        (1.2)   ~1.2[1]
        (1.2.1) ~1.2.1[1]
        (1.4)   ~1.4[1]
        (1.4-r1)        ~1.4-r1[1]
        (1.5)   ~1.5[1]
        (1.5.1) ~1.5.1[1]
        (1.6)   ~1.6[1]
        (1.7)   ~1.7^m[2]
        (1.7.1) ~1.7.1[1] ~1.7.1^m[2]
        (1.8)   ~1.8^m[2]
        (1.8.2) ~1.8.2[1]
        (1.8.4) ~1.8.4[1]
        (1.8.4-r1)      ~1.8.4-r1[1]
        {{vhosts}}
     Homepage:            http://www.piwik.org/
     Description:         Piwik is a downloadable, open source (GPL licensed) real time web analytics software program.

[1] "jaervosz" layman/jaervosz
[2] "moonrise" layman/moonrise


"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено Аноним , 28-Ноя-12 04:09 
Ну конечно "искать надо уметь", особенно, если у Вас подключен локальный репозиторий. Ведь он у всех подключён. [sarcasm-mode off]

"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено axe , 27-Ноя-12 17:41 
Скорее всего поимели виндовую машину разработчика, как обычно.

"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено Илья , 27-Ноя-12 18:03 
Новость как-то не до конца. Суть в том, что сервер вчера был взломан, и кто-то подменил latest.zip архивом с вредоносным кодом. Дистрибутив вернули сразу после обнаружения, т.е. номера версий здесь ни при чём. Затронуты только пользователи, скачавшие дистрибутив вчера во второй половине дня, инструкции по проверке здесь: http://piwik.org/blog/2012/11/security-report-piwik-org-webs.../

"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено JL2001 , 27-Ноя-12 21:12 
пробаянюсь на тему "неуязвимости репозиториев" и на тему необходимости защиты данных пользователя и программ от других программ (установленных тем же пользователем)
что, опять ненужно ?

"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено Аноним , 28-Ноя-12 01:44 
lol ! php от php защищать будешь ?

"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено JL2001 , 29-Ноя-12 05:03 
> php от php защищать будешь ?

скорее требуется подход "один пакет от другого пакета"


"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено anonymous , 28-Ноя-12 01:54 
>от других программ (установленных тем же пользователем)

apparmor же


"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено JL2001 , 28-Ноя-12 15:40 
>>от других программ (установленных тем же пользователем)
> apparmor же

и много у вас профилей аппармора ? дайте мне профиль для http://unixforum.org/index.php?showtopic=112461
deb программы есть, профиля аппармора чтот не видно, что делать ?


"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено Crazy Alex , 28-Ноя-12 06:17 
Найдите, где в новости репозиторий? Они-то как раз хорошо защищены - подписи, хэши,длительный срок нахождения пакетов в тестовых ветках... Например, этот же зараженный piwik ни при каких раскладах в дистрибутивах (как минимум stable) не оказался бы.

"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено JL2001 , 28-Ноя-12 15:38 
> Найдите, где в новости репозиторий? Они-то как раз хорошо защищены

а что делать если нет программки в репозитории дистрибутива ? мне вот нужна вот эта "программка" у которой есть только deb и никакого репозитория, даж от автора, не то что в дистрибутиве http://unixforum.org/index.php?showtopic=112461


"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено chupnik , 28-Ноя-12 11:16 
Апдейтился до 1.9.2 - ничего подозрительного не обнаружено. Видимо только при установке из дистра.

"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено arisu , 29-Ноя-12 14:22 
ничего, лет через 20 «разработчики на похапэ» узнают о том, что архивы можно подписывать приватным ключом, например. совсем недолго ждать осталось.

"В поставке открытого проекта Piwik обнаружен бэкдор"
Отправлено Анонист , 30-Ноя-12 19:26 
eval(base64_decode())
exec(base64_decode())

LOL