Hallo zusammen, mir fiel bei einer Piwik Insallation auf dass seit drei Tagen keine Besucher mehr getrackt wurden.
Als ich die Seite aufgerufen habe bekam ich eine Virusmeldung (siehe Anhang).
[attachment 1038 meldung.gif]
Nachdem ich lange in der Shopsoftware gesucht habe hab ich dann im Piwik nachgesehen.
Und da habe ich dann etliches gefunden z. B. htaccess Datei im config Verzeichnis:
Ich habe nun alle Dateien gelöscht und frisch hochgeladen.
Es funktioniert wieder alles - trotzdem sollte man dringend herausfinden wie das zustande kommen kann.
Es sieht ganz danach aus als ob es da ein Sicherheitsleck gibt ???
Nunja, das Sicherheitsleck kann sonstwo auf Deinem Webspace oder Server sein. Irgendwas hat dort vermutlich an mehreren Stellen seinen “Müll” abgelegt.
Dass hier direkt Piwik der Verursacher ist halte ich für relativ unwahrscheinlich - dann würde es schon mehr Probleme und Reports dazu geben.
Ganz bestimmt gibt es da ein Sicherheitsleck.
Ich vermute jedoch, dass dieses Leck nicht auf dem Web zu finden ist, sondern eher auf dem PC des Users in Form eines Trojaners/Keyloggers, welcher die FTP-Zugangsdaten geklaut und an unberechtigte Dritte weitergeleitet hat.
Diese Masche (verändern bzw. neuanlegen) von .htaccess-Files grassiert derzeit mächtig und betrifft nicht nur Piwik.
Hallo keraM, klar besteht theoretisch auch die Möglichkeit, dass FTP Passwörter gestohlen wurden. Das ist aber in diesem Fall mit an Sicherheit grenzender Wahrscheinlichkeit nicht der Fall.
Bei dem Vorfall handelt es sich um XSS und in den meisten Fällen werden Schwachstellen in Systemen genutzt um Angriffe zu realisieren.
Bei dem kürzlich entstandenen Sicherheitsproblem im Piwik-Update handelte es sich ebenfalls um XSS - wenn auch nicht über htaccess sondern durch Javascript.
Meine Intention war es in Bezug auf Piwik auf die Möglichkeit einer möglichen Sicherheitslücke hinzuweisen.
