The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В поставке открытого проекта Piwik обнаружен бэкдор"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В поставке открытого проекта Piwik обнаружен бэкдор"  +/
Сообщение от opennews (ok) on 27-Ноя-12, 16:05 
В свободном пакете для web-аналитики Piwik (http://piwik.org/), позиционируемом в роли открытого аналога Google Analytics, выявлено (http://forum.piwik.org/read.php?2,97666) наличие бэкдора. При помощи установленного бэкдора злоумышленники имели возможность контролировать системы, на которых для анализа посещаемости был установлен PHP-код Piwik. Вредоносный код находился в архиве последней версии Piwik 1.9.2 (http://piwik.org/blog/2012/11/piwik-1-9-2/) в течение нескольких недель (релиз 1.9.2 вышел 9 ноября).


Вредоносный код был включен неизвестными злоумышленниками в zip-архив, доступный  загрузки с сайта проекта. Код для получения доступа к системе был интегрирован в файл piwik/core/Loader.php, бэкдор был оформлен в виде прикреплённого в конец файла набора данных, закодированных методом base64, декодирование и вызов которых осуществлялся в процессе работы приложения. Вредоносный код осуществлял отправку данных на подконтрольный злоумышленникам сервер, информируя о появлении новой жертвы, и путем манипуляций с файлом piwik/core/DataTable/Filter/Megre.php открывал доступ к форме для выполнения на сервере произвольного PHP-кода.


Ещё несколько часов назад бэкдор присутствовал в официальном архиве latest.zip, в данный момент вредоносный код из архиве уже удалён. Так как удаление бэкедора произведено без смены нумерации версии и без переименования архива, следует обратить особое внимание при установке Piwik. Наличие вредоносного кода  можно определить путем поиска в файле piwik/core/Loader.php строки "eval(gzuncompress(base64_decode(", осуществляющей декодирование бэкдора. Пользователям Piwik рекомендуется срочно проверить наличие бэкдора  и в случае его присутствия провести полный аудит безопасности своих систем. Разработчики Piwik пока только приступили к разбору инцидента, путь внедрения бэкдора ещё не ясен.


URL: http://www.h-online.com/open/news/item/Backdoor-found-in-Piw...
Новость: http://www.opennet.me/opennews/art.shtml?num=35435

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В поставке открытого проекта Piwik обнаружен бэкдор"  +14 +/
Сообщение от EuPhobos (ok) on 27-Ноя-12, 16:05 
> Так как удаление бэкедора произведено без смены нумерации версии и без переименования архива ...

Типа "Я не я, и бэкдор не моя" ?!
Могли б хоть добавить букву в версию уж.. Иль стыдно блин?
Надеюсь хоть чек-сум есть.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В поставке открытого проекта Piwik обнаружен бэкдор"  +2 +/
Сообщение от Xasd (ok) on 27-Ноя-12, 16:15 
> Могли б хоть добавить букву в версию уж.. Иль стыдно блин?

если бэкдор был добавлен в момент сразу-после-публикации программы (а не в момент разработки) -- то номер версии тут не причём.

ведь на компьютере главного разработчика -- наверно архив с программой (latest.zip) -- без бэкдора.

...ну или по крайней мере главный разработчик хочет *сделать_вид* что без бэкдора :-D ..

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

28. "В поставке открытого проекта Piwik обнаружен бэкдор"  +2 +/
Сообщение от NikolayV81 email on 28-Ноя-12, 09:34 
Новость про проблему прочитают не все, а вот новую версию может увидеть гораздо большее кол-во пользователей...
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

2. "В поставке открытого проекта Piwik обнаружен бэкдор"  –5 +/
Сообщение от Xasd (ok) on 27-Ноя-12, 16:05 
> бэкдор был оформлен в виде прикреплённого в конец файла набора данных, закодированных методом base64, ...

нет, ну PHP-сообщество меня не перестаёт удивлять!! :-)

неужеле вы функцию base64_decode() используете ТОЛЬКО для того чтобы вредоносный код подсовывать??? (или полу-вредоносый -- например подстановка SEO-ссылки-на-сайт-автора через множетсвенный рекурсивно-вложенный eval(base64_decode()))

хоть одна ПОЛЕЗНАЯ практика применения base64_decode() -- существует для PHP-сообщества ?? :-D :-D

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В поставке открытого проекта Piwik обнаружен бэкдор"  –9 +/
Сообщение от Аноним (??) on 27-Ноя-12, 16:21 
> нет, ну PHP-сообщество меня не перестаёт удивлять!! :-)

А чем они такие особенные? Вон фрибсдшников недавно ломанули - это вас не удивляет? Или бэкдор в unreal ircd?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "В поставке открытого проекта Piwik обнаружен бэкдор"  +1 +/
Сообщение от IMHO on 27-Ноя-12, 16:35 
вторжение было в инфраструктуру, сервак не порутали
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "В поставке открытого проекта Piwik обнаружен бэкдор"  –2 +/
Сообщение от Xasd (ok) on 27-Ноя-12, 16:37 
>> нет, ну PHP-сообщество меня не перестаёт удивлять!! :-)
> А чем они такие особенные?

тем что весьма-полезная функциональность base64 -- на практике в PHP используется -- *только* для гнусных деяний [обфускация бэкдоров] :) ..

> Вон фрибсдшников недавно ломанули - это вас не удивляет? Или бэкдор в unreal ircd?

но ведь не с последующим применением base64 ?! :-)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

16. "В поставке открытого проекта Piwik обнаружен бэкдор"  +4 +/
Сообщение от samm email(ok) on 27-Ноя-12, 18:07 
>тем что весьма-полезная функциональность base64 -- на практике в PHP используется -- *только* для гнусных деяний [обфускация бэкдоров] :) ..

Вы сами придумали глупость и пытаетесь используя данный аргумент спорить с окружающими. Тот же base64 используется и для webmail клиентов и там, где надо получить данные в 7-битном виде. Короче, очень много где. В данном проекте оно не использовалось, что и позволило дать рекомендацию поиска данной функции для проверки наличия трояна.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "В поставке открытого проекта Piwik обнаружен бэкдор"  +1 +/
Сообщение от нононимо on 27-Ноя-12, 18:04 
> Вон фрибсдшников недавно ломанули - это вас не удивляет?

ключ украли, вообщето

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

19. "В поставке открытого проекта Piwik обнаружен бэкдор"  +/
Сообщение от ZloySergant (ok) on 27-Ноя-12, 19:44 
>ключ украли, вообщето

Простите пожалуйста, он что на видном месте лежал, и за ним никто таки не следил?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

27. "В поставке открытого проекта Piwik обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 28-Ноя-12, 07:21 
Школяр? Какой бы не был навороченный замок - если к нему придут с ключом - он откроется.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

36. "В поставке открытого проекта Piwik обнаружен бэкдор"  +/
Сообщение от XoRe (ok) on 29-Ноя-12, 19:11 
> Школяр? Какой бы не был навороченный замок - если к нему придут
> с ключом - он откроется.

Очень по теме :)

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

18. "В поставке открытого проекта Piwik обнаружен бэкдор"  +/
Сообщение от Фкуку on 27-Ноя-12, 19:08 
>> ПОЛЕЗНАЯ практика...

А чем доставка payload'ов неполезна?
Самая полезнейшая функция.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

29. "В поставке открытого проекта Piwik обнаружен бэкдор"  +/
Сообщение от kurokaze (ok) on 28-Ноя-12, 10:07 
толсто же
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "В поставке открытого проекта Piwik обнаружен бэкдор"  +/
Сообщение от linux _RIP_ on 27-Ноя-12, 16:59 
напоминает автоматизированный троян, когда просто ушел пароль от ftp куда заливали файлик архива.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В поставке открытого проекта Piwik обнаружен бэкдор"  +/
Сообщение от anonymous (??) on 27-Ноя-12, 17:08 
emerge -s piwik
Searching...    
[ Results for search key : piwik ]
[ Applications found : 0 ]

aptitude search piwik - пусто.

Неуловимый Джо?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "В поставке открытого проекта Piwik обнаружен бэкдор"  +/
Сообщение от Crazy Alex (ok) on 27-Ноя-12, 20:17 
Системка сама весьма неплохая, кстати
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

22. "В поставке открытого проекта Piwik обнаружен бэкдор"  +/
Сообщение от mavriq_ on 28-Ноя-12, 00:15 
искать надо уметь
$ eix -R piwik
* www-apps/piwik
     Available versions:  
        (1.2)   ~1.2[1]
        (1.2.1) ~1.2.1[1]
        (1.4)   ~1.4[1]
        (1.4-r1)        ~1.4-r1[1]
        (1.5)   ~1.5[1]
        (1.5.1) ~1.5.1[1]
        (1.6)   ~1.6[1]
        (1.7)   ~1.7^m[2]
        (1.7.1) ~1.7.1[1] ~1.7.1^m[2]
        (1.8)   ~1.8^m[2]
        (1.8.2) ~1.8.2[1]
        (1.8.4) ~1.8.4[1]
        (1.8.4-r1)      ~1.8.4-r1[1]
        {{vhosts}}
     Homepage:            http://www.piwik.org/
     Description:         Piwik is a downloadable, open source (GPL licensed) real time web analytics software program.

[1] "jaervosz" layman/jaervosz
[2] "moonrise" layman/moonrise

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

25. "В поставке открытого проекта Piwik обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 28-Ноя-12, 04:09 
Ну конечно "искать надо уметь", особенно, если у Вас подключен локальный репозиторий. Ведь он у всех подключён. [sarcasm-mode off]
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

12. "В поставке открытого проекта Piwik обнаружен бэкдор"  +2 +/
Сообщение от axe (??) on 27-Ноя-12, 17:41 
Скорее всего поимели виндовую машину разработчика, как обычно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "В поставке открытого проекта Piwik обнаружен бэкдор"  +5 +/
Сообщение от Илья email(??) on 27-Ноя-12, 18:03 
Новость как-то не до конца. Суть в том, что сервер вчера был взломан, и кто-то подменил latest.zip архивом с вредоносным кодом. Дистрибутив вернули сразу после обнаружения, т.е. номера версий здесь ни при чём. Затронуты только пользователи, скачавшие дистрибутив вчера во второй половине дня, инструкции по проверке здесь: http://piwik.org/blog/2012/11/security-report-piwik-org-webs.../
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "В поставке открытого проекта Piwik обнаружен бэкдор"  –1 +/
Сообщение от JL2001 (ok) on 27-Ноя-12, 21:12 
пробаянюсь на тему "неуязвимости репозиториев" и на тему необходимости защиты данных пользователя и программ от других программ (установленных тем же пользователем)
что, опять ненужно ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "В поставке открытого проекта Piwik обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 28-Ноя-12, 01:44 
lol ! php от php защищать будешь ?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

34. "В поставке открытого проекта Piwik обнаружен бэкдор"  +/
Сообщение от JL2001 (ok) on 29-Ноя-12, 05:03 
> php от php защищать будешь ?

скорее требуется подход "один пакет от другого пакета"

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

24. "В поставке открытого проекта Piwik обнаружен бэкдор"  +/
Сообщение от anonymous (??) on 28-Ноя-12, 01:54 
>от других программ (установленных тем же пользователем)

apparmor же

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

32. "В поставке открытого проекта Piwik обнаружен бэкдор"  +/
Сообщение от JL2001 (ok) on 28-Ноя-12, 15:40 
>>от других программ (установленных тем же пользователем)
> apparmor же

и много у вас профилей аппармора ? дайте мне профиль для http://unixforum.org/index.php?showtopic=112461
deb программы есть, профиля аппармора чтот не видно, что делать ?

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "В поставке открытого проекта Piwik обнаружен бэкдор"  +2 +/
Сообщение от Crazy Alex (ok) on 28-Ноя-12, 06:17 
Найдите, где в новости репозиторий? Они-то как раз хорошо защищены - подписи, хэши,длительный срок нахождения пакетов в тестовых ветках... Например, этот же зараженный piwik ни при каких раскладах в дистрибутивах (как минимум stable) не оказался бы.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

31. "В поставке открытого проекта Piwik обнаружен бэкдор"  +/
Сообщение от JL2001 (ok) on 28-Ноя-12, 15:38 
> Найдите, где в новости репозиторий? Они-то как раз хорошо защищены

а что делать если нет программки в репозитории дистрибутива ? мне вот нужна вот эта "программка" у которой есть только deb и никакого репозитория, даж от автора, не то что в дистрибутиве http://unixforum.org/index.php?showtopic=112461

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

30. "В поставке открытого проекта Piwik обнаружен бэкдор"  +/
Сообщение от chupnik (ok) on 28-Ноя-12, 11:16 
Апдейтился до 1.9.2 - ничего подозрительного не обнаружено. Видимо только при установке из дистра.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "В поставке открытого проекта Piwik обнаружен бэкдор"  +/
Сообщение от arisu (ok) on 29-Ноя-12, 14:22 
ничего, лет через 20 «разработчики на похапэ» узнают о том, что архивы можно подписывать приватным ключом, например. совсем недолго ждать осталось.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "В поставке открытого проекта Piwik обнаружен бэкдор"  +/
Сообщение от Анонист on 30-Ноя-12, 19:26 
eval(base64_decode())
exec(base64_decode())

LOL

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру