PHPMyAdmin está sendo atacado

Question

PHPMyAdmin está sendo atacado

#1 resposta do (6 votos)

1

Estou executando um servidor Debian com PHP5, Apache 2.2.16 e PHPMyAdmin (não sei como verificar o número da versão), Logcheck e outros programas.
Hoje o Logcheck começa a anexar várias linhas como essa e eu não sei como posso evitá-las

Feb 12 15:08:03 mail suhosin[5538]: ALERT - tried to register forbidden variable '_SESSION[ConfigFile][Servers][*/foreach($_GET as $k=>$v)if($k==="eval")eval($v);/*][port]' through GET variables (attacker '64.34.176.50', file '/usr/share/phpmyadmin/index.php')
Feb 12 15:08:03 mail suhosin[3131]: ALERT - tried to register forbidden variable '_SESSION[ConfigFile][Servers][*/foreach($_GET as $k=>$v)if($k==="eval")eval($v);/*][port]' through GET variables (attacker '64.34.176.50', file '/usr/share/phpmyadmin/index.php')
Feb 12 15:08:04 mail suhosin[5548]: ALERT - tried to register forbidden variable '_SESSION[!bla]' through GET variables (attacker '64.34.176.50', file '/usr/share/phpmyadmin/index.php')
Feb 12 15:08:04 mail suhosin[3130]: ALERT - tried to register forbidden variable '_SESSION[!bla]' through GET variables (attacker '64.34.176.50', file '/usr/share/phpmyadmin/index.php')

Devo bloquear o IP usando IPTables ou como?
E se eu vou usar o IPTables, como devo inserir as linhas?

iptables apache-2.2 php5 log-files

por The87Boy 12.02.2012 / 16:11

1 resposta

Tags iptables apache-2.2 php5 log-files

o que está causando meus pacotes para saltar dentro da minha rede antes de sair para internet propriamente dita? Não é possível criar regra no IPTables para abrir a porta 80

score 6 · Accepted Answer

Bloquear isso usando apenas IPtables será um esforço fútil, pois o PHPMyAdmin é um alvo muito atraente para os invasores e você terá outras tentativas de outros endereços.

Você tem as seguintes opções, classificadas por ordem de confiabilidade:

Livre-se da pilha de lixo insegura que é o PHPMyAdmin e remova-a do seu sistema.
Se isso não for possível, limite o acesso a ele com um ou mais dos seguintes métodos da sua configuração do Apache (o arquivo de configuração do site ou com um .htaccess no diretório PHPMyAdmin:
- Limite o acesso a uma rede conhecida ou, melhor ainda, apenas o host local e use o encaminhamento de porta SSH para acessá-lo.
- Limite o acesso a ele com um par de chaves SSL. Isso é bastante seguro, mas não é muito fácil de configurar.
- Use a autenticação básica HTTP para limitar o acesso ao diretório PHPMyAdmins com uma senha adicional.
Use algo como o Fail2Ban que bloqueia dinamicamente os endereços IP dos invasores.

Se eu tiver alguém que apenas precise PHPMyAdmin e não se incomodar em aprender a usar outras ferramentas, normalmente eu configuro uma instalação local dele na máquina do usuário e a configuro para usar o MySQL através de um encaminhamento de porta SSH e, em seguida, tornar mais fácil para o usuário estabelecer o túnel.