Nachdem ich die Software image0 hier schonhäufiger empfohlen habe muss ich heute leider eine schlechte Nachricht verkünden. Die Version 1.9.2 wurde mit ein paar Zeilen Schadcode versehen.

Laut seeseekey muss die Infektion nach 15:18 am 26. November 2012 passiert sein, denn da hat er das Update eingespielt und diese Installation ist noch nicht betroffen. Auch die Meinige ist verschont geblieben, allerdings hatte ich diese Aktualisierung auch schon lange eingespielt gehabt.

Genaue Informationen zu der Attacke gibt es im PIWIK Forum. Auf jeden Fall sollte man die eigene Installation schnellstmöglich überprüfen.

Befindet sich eine Zeile mit

eval(gzuncompress(base64_decode

in der Datei piwik/core/Loader.php hat man leider die modifizierte Version installiert. Sollte das so sein, muss man auf jeden Fall die Dateien piwik/core/DataTable/Filter/Megre.php und /lic.log löschen, denn diese wurden vom Angreifer generiert.

Am Besten löscht man aber gleich alle Dateien und installiert alles neu. Dazu kann man die die neuste latest.zip nehmen, denn diese soll sauber sein. Da aber noch nicht klar  ist wie der Code eingeschleust wurde (und ob das wieder geschen kann) ist es sicherer die Dateien direkt von githubherunterzuladen, denn das Repository war nie kompromitiert.

Ich habe mich entschlossen diesen Artikel im UbuntuusersPlaneten erscheinen zu lassen, auch wenn er Ubuntufern ist. Die Software ist unter Bloggern doch recht beliebt und diese Backdoor kann man leider nicht mehr harmlos nennen.

Update: Artikel leicht modifiziert