Su un mio server ho una versione corrente di phpMyAdmin in esecuzione. Purtroppo (il mio male sapevo che dovevo cancellare questa cartella per sicurezza dopo l'installazione, ho semplicemente dimenticato ... dangit) avevo ancora la cartella di setup ancora nella directory root di phpMyAdmin, quindi chiunque abbia avuto accesso al mio server con http://example.com/phpMyAdmin/setup.php
ha avuto accesso al sito di installazione.
Oggi ho trovato questo nei miei file access.log nginx (estratto):
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.1.0-all-languages/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.0.1.0/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.2.0/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.2.0-english/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin2/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.2.0-all-languages/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.0.0/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin3/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.0.1.0-english/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-2.9.2/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.0.0.0-all-languages/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [04/Mar/2016:05:02:58 +0100] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [26/Feb/2016:10:10:58 +0100] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 185 "-" "ZmEu"
Sembra che l'autore dell'attacco abbia usato uno script per eseguire la scansione del mio dominio principale per le cartelle elencate sopra. Quello che non capisco è, perché usa //
piuttosto che /
perché http://example.com//phpMyAdmin/setup.php
finirebbe direttamente in un percorso / reindirizzamento non valido.
In secondo luogo stavo usando un sottodominio per phpMyAdmin, nessuna struttura di cartelle che rende questo attacco completamente inutile perché non esiste una struttura di cartelle del genere sul mio server che lo script dell'attaccante abbia cercato di trovare.
Quello che mi sto chiedendo è, che cosa potrebbe potenzialmente accadere se un utente malintenzionato ha successo con un simile attacco su phpMyAdmin? Cosa potrebbe fare con questo?