Configuração do phpMyAdmin não protegida por senha; ser atingido por hackers

1

A tela de configuração do phpMyAdmin (versão 2.11.9.5) do meu servidor não é protegida por senha. Tenho notado muitas tentativas de acessar a tela em meus arquivos de log, especialmente de solicitações automatizadas que solicitam cerca de 50 locais de diretório possíveis da tela de configuração.

A questão é discutida aqui: o servidor tem a configuração do phpMyAdmin, mas não requer uma senha para acessar

Eu verifiquei os arquivos de configuração dos meus próprios servidores e eles já estão definidos como escritos naquele artigo. Parece que a página é apenas um utilitário usado para modificar os arquivos de configuração e que não tem capacidade de carregar ou salvar esses arquivos.

Perguntas:

1: Isso é um problema de segurança? Existe uma maneira de acessar meus dados MySQL com esta tela acessível?

2: Se é um problema (ou talvez não seja) como faço para desligar a tela?

    
por aepryus 04.08.2010 / 00:57

3 respostas

3

Eu recomendaria strongmente um arquivo .htaccess na raiz da pasta em que o phpMyAdmin está instalado:

AuthType Basic
AuthName "Protected Area"
AuthUserFile /path/to/.htpasswd
Require valid-user

e, em seguida, execute:

htpasswd -c /path/to/.htpasswd myuser mypass

Existem outras maneiras de fazer isso, mas isso é relativamente fácil.

    
por 04.08.2010 / 01:01
1

Sobre suas dúvidas:

1: Is this a security problem? Is there a way to access my MySQL data with this screen accessible?

Depende da sua versão do phpmyadmin. Eu hackeei esses estúpidos "blackhats.romanian.anti-sec" alguns dias atrás, porque eu esqueci que eu tinha uma versão do phpmyadmin no meu servidor, que era muito antiga e vulnerável (2.11.5). De qualquer forma, pude encontrar o que eles fizeram e quem são (não vou dizer o nome apenas para minimizar sua importância, só digo que consegui fotos e endereço pessoal em Constança, Romênia. Atualmente ele tem 25 anos, bah, e feio, hehe, ele é apenas um scriptkiddie).

Basicamente eles são spammers, e colocam alguns ircbots no meu servidor também. Graças aos bots consegui encontrá-los. Eles estavam usando dois servidores irc em duas diferentes empresas de hospedagem para colocar todos eles. Detecto cerca de 800 servidores de bots como o meu nos servidores do irc, por isso decido informar suas empresas de hospedagem para cancelar suas contas (um tem ações muito rápidas e cancelou sua conta poucas horas depois meu relato, hehe, o outro é ainda investigando, mas acho que eles não vão fazer nada - o planetet é muito grande para gerenciar corretamente esses problemas sem logs completos -).

Usando dois servidores irc, eu acho que eles resolvem possíveis problemas com empresas de hospedagem (quando alguém os informa como eu) e dessa forma eles ainda podem ter controle sobre os 800 bot-servers do outro servidor e eu acho que eles irão pegou outro em breve e alterou sua configuração de bot-servers, facilitando o envio de ordens para que os bots voltassem a tê-los em dois lugares para não perder o controle.

2: If it is a problem (or maybe even if it is not) how do I turn that screen off?

Bem, renomei a pasta phpmyadmin para outro nome não comum, mas também é possível protegê-la com o .htaccess, como explicado acima. Além disso, você pode excluir com segurança o script setup.php ou editá-lo e colocar um dado (); no início ... Esse script setup.php não é util depois de ter sido bem configurado.

Eles me fizeram perder um dia inteiro investigando quem são e como eles entram em meu servidor, mas fico feliz em ver que a primeira empresa de hospedagem excluiu sua conta e perdeu metade do controle de spam deles . Espero que o theplanet também atue o mais rápido possível, a fim de evitar o controle sobre os 800 servidores de spam.

Será ótimo se alguém puder colocá-los na cadeia, porque eles prejudicam meu trabalho hoje, e talvez 800 administradores mais, de graça. Mas eu não tenho idéia de onde informar porque ele está em outro país (Romênia) e seus servidores estão nos EUA. Da próxima vez eu vou pegar uma arma e um avião, e vou matá-lo para fazer justiça, hehe.

Desculpe por essa longa explicação pessoal, mas eu quero encorajá-lo a informar as empresas de hospedagem assim que você detectar algo similar em seus servidores para tentar matar todos os spammers do mundo, eles cheiram muito.

Atenciosamente, HappyAdmin

    
por 23.08.2010 / 23:40
1

Nós tivemos muito esses ataques, onde eles tentaram adivinhar 100 caminhos diferentes, estava quebrando nosso banco de dados, então coloquei um pote de spam no lugar. Semelhante ao Projeto Honey Pot , mas uma versão mais reduzida. Foi apenas uma página PHP que registrou a tentativa de hacking em nosso log de erros do PHP. Então no nosso arquivo http.conf coloque o código abaixo (mais de 100 combinações diferentes que foram usadas - eu as coloco separadamente em postar no meu blog para não inundar esta página) que redireciona as várias solicitações para a página do spam-pot.

AliasMatch ^/.*PMA/(.*\.php)$ "/var/www/html/spam-pot/$1"
AliasMatch ^/.*PMA2005/(.*\.php)$ "/var/www/html/spam-pot/$1"
AliasMatch ^/.*PMA2006/(.*\.php)$ "/var/www/html/spam-pot/$1"
AliasMatch ^/.*pma/(.*\.php)$ "/var/www/html/spam-pot/$1"
AliasMatch ^/.*/administrator/(.*\.php)$ "/var/www/html/spam-pot/$1"
AliasMatch ^/.*database/(.*\.php)$ "/var/www/html/spam-pot/$1"
AliasMatch ^/.*database-admin/(.*\.php)$ "/var/www/html/spam-pot/$1"
AliasMatch ^/.*databaseadmin/(.*\.php)$ "/var/www/html/spam-pot/$1"
AliasMatch ^/.*databasemanager/(.*\.php)$ "/var/www/html/spam-pot/$1"
AliasMatch ^/.*databaseweb/(.*\.php)$ "/var/www/html/spam-pot/$1"
...
    
por 25.11.2010 / 12:17