¿Se pirateó mi phpMyAdmin?

1

En un servidor mío tengo una versión actual de phpMyAdmin en ejecución. Desafortunadamente (mi error sabía que tenía que eliminar esta carpeta por seguridad después de la instalación, simplemente olvidé ... dangit) Todavía tenía la carpeta de configuración en el directorio raíz de phpMyAdmin, por lo que cualquiera que accediera a mi servidor con http://example.com/phpMyAdmin/setup.php tenía acceso al sitio de configuración.

Hoy encontré esto en mis archivos nginx access.log (extracto):

SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.1.0-all-languages/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.0.1.0/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.2.0/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.2.0-english/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin2/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.2.0-all-languages/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.0.0/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin3/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.0.1.0-english/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-2.9.2/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.0.0.0-all-languages/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [04/Mar/2016:05:02:58 +0100] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [26/Feb/2016:10:10:58 +0100] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 185 "-" "ZmEu"

Parece que el atacante usó una secuencia de comandos para escanear mi dominio principal en busca de las carpetas enumeradas anteriormente. Lo que no entiendo es, ¿por qué utiliza // en lugar de / porque http://example.com//phpMyAdmin/setup.php terminaría directamente en una ruta / redirección no válida?

En segundo lugar, estaba usando un subdominio para phpMyAdmin, ninguna estructura de carpetas que hace que este ataque sea completamente inútil porque no hay una estructura de carpetas en mi servidor que el script del atacante haya intentado encontrar.

Lo que me estoy preguntando actualmente es, ¿qué podría pasar si un atacante tiene éxito con un ataque de este tipo en phpMyAdmin? ¿Qué podía hacer con él?

    
pregunta Flatron 19.03.2016 - 19:59
fuente

1 respuesta

5

Esas entradas de registro se parecen a la actividad de escaneo normal.

También puede observar que el escáner no se enfocó específicamente en su configuración, ya que se intentaron varias versiones y directorios. Y como dijiste, ninguno de ellos existe realmente en tu configuración.

  

Lo que no entiendo es, ¿por qué usa // en lugar de /

Es probable que se trate de un error en su software de escaneo (por ejemplo, como resultado de tener una lista de URL, algunas de las cuales tienen barras diagonales al final y tener una lista de rutas para escanear, algunas de las cuales tienen barras diagonales).

Es posible que no lo hayan notado, ya que no importa en muchos casos, ya que // se interpreta como / por muchas configuraciones.

  

Lo que me estoy preguntando actualmente es, ¿qué podría pasar si un atacante tiene éxito con un ataque de este tipo en phpMyAdmin? ¿Qué podía hacer con él?

Eso realmente depende de la versión. Aquí hay una descripción general de algunas vulnerabilidades en phpmyadmin . Tenga en cuenta, por ejemplo, que el script de configuración era vulnerable a la ejecución del código en versiones anteriores.

  

Todavía tenía la carpeta de configuración en el directorio raíz de phpMyAdmin

Eliminar las carpetas de instalación siempre es una buena idea, ya que los scripts ya no son necesarios y solo proporcionan una superficie de ataque adicional. Además, algunos desarrolladores no se molestan en codificarlos de forma segura, ya que podrían sugerir que los usuarios los eliminen.

Sin embargo, phpmyadmin debería ser seguro, incluso si el script no se elimina (aunque al mirar la lista de vulnerabilidades corregidas, puede ver que al menos no siempre fue así en el pasado). Es más importante que tengas una versión actual.

  

¿Mi phpMyAdmin fue hackeado?

Realmente no podemos decirle eso con solo la información que nos proporcionó. Los registros definitivamente no nos dicen eso, ya que son simplemente ruido de fondo normal.

    
respondido por el tim 19.03.2016 - 21:02
fuente

Lea otras preguntas en las etiquetas