Il mio phpMyAdmin è stato violato?

1

Su un mio server ho una versione corrente di phpMyAdmin in esecuzione. Purtroppo (il mio male sapevo che dovevo cancellare questa cartella per sicurezza dopo l'installazione, ho semplicemente dimenticato ... dangit) avevo ancora la cartella di setup ancora nella directory root di phpMyAdmin, quindi chiunque abbia avuto accesso al mio server con http://example.com/phpMyAdmin/setup.php ha avuto accesso al sito di installazione.

Oggi ho trovato questo nei miei file access.log nginx (estratto):

SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.1.0-all-languages/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.0.1.0/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.2.0/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.2.0-english/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin2/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.2.0-all-languages/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.0.0/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin3/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.0.1.0-english/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-2.9.2/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.0.0.0-all-languages/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [04/Mar/2016:05:02:58 +0100] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [26/Feb/2016:10:10:58 +0100] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 185 "-" "ZmEu"

Sembra che l'autore dell'attacco abbia usato uno script per eseguire la scansione del mio dominio principale per le cartelle elencate sopra. Quello che non capisco è, perché usa // piuttosto che / perché http://example.com//phpMyAdmin/setup.php finirebbe direttamente in un percorso / reindirizzamento non valido.

In secondo luogo stavo usando un sottodominio per phpMyAdmin, nessuna struttura di cartelle che rende questo attacco completamente inutile perché non esiste una struttura di cartelle del genere sul mio server che lo script dell'attaccante abbia cercato di trovare.

Quello che mi sto chiedendo è, che cosa potrebbe potenzialmente accadere se un utente malintenzionato ha successo con un simile attacco su phpMyAdmin? Cosa potrebbe fare con questo?

    
posta Flatron 19.03.2016 - 19:59
fonte

1 risposta

5

Queste voci di registro sembrano normali attività di scansione.

Puoi anche notare che lo scanner non ha indirizzato la tua configurazione in modo specifico, poiché vengono provate più versioni e directory. E come hai detto, nessuno di questi esiste realmente nel tuo setup.

What I don't understand is, why does he use // rather than /

Probabilmente è un bug nel loro software di scansione (ad esempio risultante dall'avere un elenco di URL, alcuni dei quali hanno una barra finale e una lista di percorsi da analizzare, alcuni dei quali hanno delle barre principali).

Potrebbero non averlo notato, in quanto non importa in molti casi, poiché // è interpretato come / da molte impostazioni.

What I am currently wondering is, what could potentially happen if a attacker has success with such an attack on phpMyAdmin? What could he do with it?

Questo dipende molto dalla versione. Ecco una panoramica su alcune vulnerabilità in phpmyadmin . Si noti ad esempio che lo script di installazione era vulnerabile all'esecuzione del codice nelle versioni precedenti.

I still had the setup folder still in the phpMyAdmin's root directory

Rimuovere le cartelle di installazione è sempre una buona idea, poiché gli script non sono più necessari e forniscono solo una superficie di attacco aggiuntiva. Inoltre, alcuni sviluppatori non si preoccupano di codificarli in modo sicuro, in quanto potrebbero invece suggerire agli utenti di eliminarli.

Tuttavia, phpmyadmin dovrebbe essere sicuro anche se lo script non viene cancellato (anche se guardando l'elenco delle vulnerabilità fisse, è possibile vedere che almeno in passato non si è verificato il caso). È più importante avere una versione corrente.

Was my phpMyAdmin hacked?

Non possiamo davvero dirtelo con le informazioni che hai fornito. I log sicuramente non ce lo dicono, perché sono solo normali rumori di sottofondo.

    
risposta data 19.03.2016 - 21:02
fonte

Leggi altre domande sui tag