En un servidor mío tengo una versión actual de phpMyAdmin en ejecución. Desafortunadamente (mi error sabía que tenía que eliminar esta carpeta por seguridad después de la instalación, simplemente olvidé ... dangit) Todavía tenía la carpeta de configuración en el directorio raíz de phpMyAdmin, por lo que cualquiera que accediera a mi servidor con http://example.com/phpMyAdmin/setup.php
tenía acceso al sitio de configuración.
Hoy encontré esto en mis archivos nginx access.log (extracto):
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.1.0-all-languages/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.0.1.0/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.2.0/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.2.0-english/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin2/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.2.0-all-languages/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.1.0.0/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin3/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.0.1.0-english/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-2.9.2/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [02/Mar/2016:21:03:22 +0100] "GET //phpMyAdmin-3.0.0.0-all-languages/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [04/Mar/2016:05:02:58 +0100] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 301 185 "-" "-"
SOMEBADIP - - [26/Feb/2016:10:10:58 +0100] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 185 "-" "ZmEu"
Parece que el atacante usó una secuencia de comandos para escanear mi dominio principal en busca de las carpetas enumeradas anteriormente. Lo que no entiendo es, ¿por qué utiliza //
en lugar de /
porque http://example.com//phpMyAdmin/setup.php
terminaría directamente en una ruta / redirección no válida?
En segundo lugar, estaba usando un subdominio para phpMyAdmin, ninguna estructura de carpetas que hace que este ataque sea completamente inútil porque no hay una estructura de carpetas en mi servidor que el script del atacante haya intentado encontrar.
Lo que me estoy preguntando actualmente es, ¿qué podría pasar si un atacante tiene éxito con un ataque de este tipo en phpMyAdmin? ¿Qué podía hacer con él?