форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В поставке открытого проекта Piwik обнаружен бэкдор"	+/–
Сообщение от opennews (ok) on 27-Ноя-12, 16:05
В свободном пакете для web-аналитики Piwik (http://piwik.org/), позиционируемом в роли открытого аналога Google Analytics, выявлено (http://forum.piwik.org/read.php?2,97666) наличие бэкдора. При помощи установленного бэкдора злоумышленники имели возможность контролировать системы, на которых для анализа посещаемости был установлен PHP-код Piwik. Вредоносный код находился в архиве последней версии Piwik 1.9.2 (http://piwik.org/blog/2012/11/piwik-1-9-2/) в течение нескольких недель (релиз 1.9.2 вышел 9 ноября). Вредоносный код был включен неизвестными злоумышленниками в zip-архив, доступный  загрузки с сайта проекта. Код для получения доступа к системе был интегрирован в файл piwik/core/Loader.php, бэкдор был оформлен в виде прикреплённого в конец файла набора данных, закодированных методом base64, декодирование и вызов которых осуществлялся в процессе работы приложения. Вредоносный код осуществлял отправку данных на подконтрольный злоумышленникам сервер, информируя о появлении новой жертвы, и путем манипуляций с файлом piwik/core/DataTable/Filter/Megre.php открывал доступ к форме для выполнения на сервере произвольного PHP-кода. Ещё несколько часов назад бэкдор присутствовал в официальном архиве latest.zip, в данный момент вредоносный код из архиве уже удалён. Так как удаление бэкедора произведено без смены нумерации версии и без переименования архива, следует обратить особое внимание при установке Piwik. Наличие вредоносного кода  можно определить путем поиска в файле piwik/core/Loader.php строки "eval(gzuncompress(base64_decode(", осуществляющей декодирование бэкдора. Пользователям Piwik рекомендуется срочно проверить наличие бэкдора  и в случае его присутствия провести полный аудит безопасности своих систем. Разработчики Piwik пока только приступили к разбору инцидента, путь внедрения бэкдора ещё не ясен. URL: http://www.h-online.com/open/news/item/Backdoor-found-in-Piw... Новость: https://www.opennet.ru/opennews/art.shtml?num=35435
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "В поставке открытого проекта Piwik обнаружен бэкдор"	+14 +/–
Сообщение от EuPhobos (ok) on 27-Ноя-12, 16:05
> Так как удаление бэкедора произведено без смены нумерации версии и без переименования архива ... Типа "Я не я, и бэкдор не моя" ?! Могли б хоть добавить букву в версию уж.. Иль стыдно блин? Надеюсь хоть чек-сум есть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "В поставке открытого проекта Piwik обнаружен бэкдор"	+2 +/–
	Сообщение от Xasd (ok) on 27-Ноя-12, 16:15
	> Могли б хоть добавить букву в версию уж.. Иль стыдно блин? если бэкдор был добавлен в момент сразу-после-публикации программы (а не в момент разработки) -- то номер версии тут не причём. ведь на компьютере главного разработчика -- наверно архив с программой (latest.zip) -- без бэкдора. ...ну или по крайней мере главный разработчик хочет *сделать_вид* что без бэкдора :-D ..
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	28. "В поставке открытого проекта Piwik обнаружен бэкдор"	+2 +/–
	Сообщение от NikolayV81 on 28-Ноя-12, 09:34
	Новость про проблему прочитают не все, а вот новую версию может увидеть гораздо большее кол-во пользователей...
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

2. "В поставке открытого проекта Piwik обнаружен бэкдор"	–5 +/–
Сообщение от Xasd (ok) on 27-Ноя-12, 16:05
> бэкдор был оформлен в виде прикреплённого в конец файла набора данных, закодированных методом base64, ... нет, ну PHP-сообщество меня не перестаёт удивлять!! :-) неужеле вы функцию base64_decode() используете ТОЛЬКО для того чтобы вредоносный код подсовывать??? (или полу-вредоносый -- например подстановка SEO-ссылки-на-сайт-автора через множетсвенный рекурсивно-вложенный eval(base64_decode())) хоть одна ПОЛЕЗНАЯ практика применения base64_decode() -- существует для PHP-сообщества ?? :-D :-D
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "В поставке открытого проекта Piwik обнаружен бэкдор"	–9 +/–
	Сообщение от Аноним (??) on 27-Ноя-12, 16:21
	> нет, ну PHP-сообщество меня не перестаёт удивлять!! :-) А чем они такие особенные? Вон фрибсдшников недавно ломанули - это вас не удивляет? Или бэкдор в unreal ircd?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "В поставке открытого проекта Piwik обнаружен бэкдор"	+1 +/–
	Сообщение от IMHO on 27-Ноя-12, 16:35
	вторжение было в инфраструктуру, сервак не порутали
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "В поставке открытого проекта Piwik обнаружен бэкдор"	–2 +/–
	Сообщение от Xasd (ok) on 27-Ноя-12, 16:37
	>> нет, ну PHP-сообщество меня не перестаёт удивлять!! :-) > А чем они такие особенные? тем что весьма-полезная функциональность base64 -- на практике в PHP используется -- *только* для гнусных деяний [обфускация бэкдоров] :) .. > Вон фрибсдшников недавно ломанули - это вас не удивляет? Или бэкдор в unreal ircd? но ведь не с последующим применением base64 ?! :-)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	16. "В поставке открытого проекта Piwik обнаружен бэкдор"	+4 +/–
	Сообщение от samm (ok) on 27-Ноя-12, 18:07
	>тем что весьма-полезная функциональность base64 -- на практике в PHP используется -- *только* для гнусных деяний [обфускация бэкдоров] :) .. Вы сами придумали глупость и пытаетесь используя данный аргумент спорить с окружающими. Тот же base64 используется и для webmail клиентов и там, где надо получить данные в 7-битном виде. Короче, очень много где. В данном проекте оно не использовалось, что и позволило дать рекомендацию поиска данной функции для проверки наличия трояна.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	15. "В поставке открытого проекта Piwik обнаружен бэкдор"	+1 +/–
	Сообщение от нононимо on 27-Ноя-12, 18:04
	> Вон фрибсдшников недавно ломанули - это вас не удивляет? ключ украли, вообщето
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	19. "В поставке открытого проекта Piwik обнаружен бэкдор"	+/–
	Сообщение от ZloySergant (ok) on 27-Ноя-12, 19:44
	>ключ украли, вообщето Простите пожалуйста, он что на видном месте лежал, и за ним никто таки не следил?
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	27. "В поставке открытого проекта Piwik обнаружен бэкдор"	+/–
	Сообщение от Аноним (??) on 28-Ноя-12, 07:21
	Школяр? Какой бы не был навороченный замок - если к нему придут с ключом - он откроется.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	36. "В поставке открытого проекта Piwik обнаружен бэкдор"	+/–
	Сообщение от XoRe (ok) on 29-Ноя-12, 19:11
	> Школяр? Какой бы не был навороченный замок - если к нему придут > с ключом - он откроется. Очень по теме :)
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

	18. "В поставке открытого проекта Piwik обнаружен бэкдор"	+/–
	Сообщение от Фкуку on 27-Ноя-12, 19:08
	>> ПОЛЕЗНАЯ практика... А чем доставка payload'ов неполезна? Самая полезнейшая функция.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	29. "В поставке открытого проекта Piwik обнаружен бэкдор"	+/–
	Сообщение от kurokaze (ok) on 28-Ноя-12, 10:07
	толсто же
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "В поставке открытого проекта Piwik обнаружен бэкдор"	+/–
Сообщение от linux _RIP_ on 27-Ноя-12, 16:59
напоминает автоматизированный троян, когда просто ушел пароль от ftp куда заливали файлик архива.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В поставке открытого проекта Piwik обнаружен бэкдор"	+/–
Сообщение от anonymous (??) on 27-Ноя-12, 17:08
emerge -s piwik Searching...     [ Results for search key : piwik ] [ Applications found : 0 ] aptitude search piwik - пусто. Неуловимый Джо?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	20. "В поставке открытого проекта Piwik обнаружен бэкдор"	+/–
	Сообщение от Crazy Alex (ok) on 27-Ноя-12, 20:17
	Системка сама весьма неплохая, кстати
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	22. "В поставке открытого проекта Piwik обнаружен бэкдор"	+/–
	Сообщение от mavriq_ on 28-Ноя-12, 00:15
	искать надо уметь $ eix -R piwik * www-apps/piwik      Available versions:           (1.2)   ~1.2[1]         (1.2.1) ~1.2.1[1]         (1.4)   ~1.4[1]         (1.4-r1)        ~1.4-r1[1]         (1.5)   ~1.5[1]         (1.5.1) ~1.5.1[1]         (1.6)   ~1.6[1]         (1.7)   ~1.7^m[2]         (1.7.1) ~1.7.1[1] ~1.7.1^m[2]         (1.8)   ~1.8^m[2]         (1.8.2) ~1.8.2[1]         (1.8.4) ~1.8.4[1]         (1.8.4-r1)      ~1.8.4-r1[1]         {{vhosts}}      Homepage:            http://www.piwik.org/      Description:         Piwik is a downloadable, open source (GPL licensed) real time web analytics software program. [1] "jaervosz" layman/jaervosz [2] "moonrise" layman/moonrise
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	25. "В поставке открытого проекта Piwik обнаружен бэкдор"	+/–
	Сообщение от Аноним (??) on 28-Ноя-12, 04:09
	Ну конечно "искать надо уметь", особенно, если у Вас подключен локальный репозиторий. Ведь он у всех подключён. [sarcasm-mode off]
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

12. "В поставке открытого проекта Piwik обнаружен бэкдор"	+2 +/–
Сообщение от axe (??) on 27-Ноя-12, 17:41
Скорее всего поимели виндовую машину разработчика, как обычно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "В поставке открытого проекта Piwik обнаружен бэкдор"	+5 +/–
Сообщение от Илья (??) on 27-Ноя-12, 18:03
Новость как-то не до конца. Суть в том, что сервер вчера был взломан, и кто-то подменил latest.zip архивом с вредоносным кодом. Дистрибутив вернули сразу после обнаружения, т.е. номера версий здесь ни при чём. Затронуты только пользователи, скачавшие дистрибутив вчера во второй половине дня, инструкции по проверке здесь: http://piwik.org/blog/2012/11/security-report-piwik-org-webs.../
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "В поставке открытого проекта Piwik обнаружен бэкдор"	–1 +/–
Сообщение от JL2001 (ok) on 27-Ноя-12, 21:12
пробаянюсь на тему "неуязвимости репозиториев" и на тему необходимости защиты данных пользователя и программ от других программ (установленных тем же пользователем) что, опять ненужно ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	23. "В поставке открытого проекта Piwik обнаружен бэкдор"	+/–
	Сообщение от Аноним (??) on 28-Ноя-12, 01:44
	lol ! php от php защищать будешь ?
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	34. "В поставке открытого проекта Piwik обнаружен бэкдор"	+/–
	Сообщение от JL2001 (ok) on 29-Ноя-12, 05:03
	> php от php защищать будешь ? скорее требуется подход "один пакет от другого пакета"
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	24. "В поставке открытого проекта Piwik обнаружен бэкдор"	+/–
	Сообщение от anonymous (??) on 28-Ноя-12, 01:54
	>от других программ (установленных тем же пользователем) apparmor же
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	32. "В поставке открытого проекта Piwik обнаружен бэкдор"	+/–
	Сообщение от JL2001 (ok) on 28-Ноя-12, 15:40
	>>от других программ (установленных тем же пользователем) > apparmor же и много у вас профилей аппармора ? дайте мне профиль для http://unixforum.org/index.php?showtopic=112461 deb программы есть, профиля аппармора чтот не видно, что делать ?
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	26. "В поставке открытого проекта Piwik обнаружен бэкдор"	+2 +/–
	Сообщение от Crazy Alex (ok) on 28-Ноя-12, 06:17
	Найдите, где в новости репозиторий? Они-то как раз хорошо защищены - подписи, хэши,длительный срок нахождения пакетов в тестовых ветках... Например, этот же зараженный piwik ни при каких раскладах в дистрибутивах (как минимум stable) не оказался бы.
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	31. "В поставке открытого проекта Piwik обнаружен бэкдор"	+/–
	Сообщение от JL2001 (ok) on 28-Ноя-12, 15:38
	> Найдите, где в новости репозиторий? Они-то как раз хорошо защищены а что делать если нет программки в репозитории дистрибутива ? мне вот нужна вот эта "программка" у которой есть только deb и никакого репозитория, даж от автора, не то что в дистрибутиве http://unixforum.org/index.php?showtopic=112461
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

30. "В поставке открытого проекта Piwik обнаружен бэкдор"	+/–
Сообщение от chupnik (ok) on 28-Ноя-12, 11:16
Апдейтился до 1.9.2 - ничего подозрительного не обнаружено. Видимо только при установке из дистра.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "В поставке открытого проекта Piwik обнаружен бэкдор"	+/–
Сообщение от arisu (ok) on 29-Ноя-12, 14:22
ничего, лет через 20 «разработчики на похапэ» узнают о том, что архивы можно подписывать приватным ключом, например. совсем недолго ждать осталось.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "В поставке открытого проекта Piwik обнаружен бэкдор"	+/–
Сообщение от Анонист on 30-Ноя-12, 19:26
eval(base64_decode()) exec(base64_decode()) LOL
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема