Details: Ein Entwickler entdeckte ungewöhnlichen Code, als er die Datei /piwik/core/Loader.php inspizierte. An deren Ende fand er Base64-codierte Befehle, die nach dem Auspacken Daten an den Server prostoivse.com übertrugen. Darüber hinaus legt der Code offenbar die Dateien lic.log und piwik/core/DataTable/Filter/Megre.php an. Außerdem kann ein Angreifer über spezielle Parameter beliebige PHP-Befehle ausführen lassen und somit das System auch händisch weiter kompromittieren.Betroffen war anscheinend das Download-Paket der aktuellen Version 1.9.2 auf dem Piwik-Server. Ein deutliches Anzeichen für eine infizierte Piwik-Installation ist die Codezeile eval(gzuncompress(base64_decode(..... über die der verschleierte Code entpackt und zur Ausführung gebracht wird. Wer sie auf seinem Server entdeckt, sollte zumindest Piwik vorübergehend still legen und seinen Server gründlich überprüfen.
(Bild: Bild: QGroup)
98/317