Zurzeit ist nicht bekannt, seit wann der Download der aktuellen Piwik-Version 1.9.2 kompromittiert war und wie der Schadcode auf den Server gelangen konnte. Inzwischen haben die Entwickler aber wieder eine unbedenkliche Version der Datei zum Download bereitgestellt.
Auf der
Piwik-Website fehlt bisher ein Hinweis auf den Vorfall. Nur
im Piwik-Forum gibt es eine Diskussion, in der der Schadcode beschrieben wird. Der in die Datei core/Loader.php eingeschleuste Code sendet den Hostnamen und die Piwik-URL an einen Server und öffnet eine Hintertür, über die beliebiger PHP-Code ausführt werden kann. Darüber lässt sich weiterer Schaden auf dem betroffenen System anrichten.
Wer die Datei in den letzen Tagen heruntergeladen oder Piwik aktualisiert hat, sollte auf jeden Fall sein System prüfen. Ein Anzeichen für eine Infektion ist der Code
in der Datei Loader.php. Betroffenen Anwender sollten den Server dann vom Netz nehmen und nach weiteren Anzeichen für einen Hacker-Angriff suchen.