Файлы журнала моего веб-сайта показывают множество запросов, которые ищут:
/phpmyadmin/scripts/setup.php
У меня на сайте есть phpmyadmin. Я должен удалить это setup.php
файл или просто позволить им запрашивать его?
Короткий ответ: Да, удалить. Также удалите весь setup
каталог.
Длинный ответ: В прошлом было множество уязвимостей внедрения кода, связанных с phpmyadmin's setup.php
. Поскольку файл используется только для целей начальной настройки и не предназначен для использования после установки, нет ничего, что можно потерять и, возможно, много выиграть, удалив его.
Кроме того, инструкции по установке phpmyadmin рекомендуют удалить все setup
каталог после установки. Одно из предложений, найденных на http://docs.phpmyadmin.net/en/latest/setup.html#securing-your-phpmyadmin-installation гласит:
Удалите установочный каталог из phpMyAdmin, вы, вероятно, не будете использовать его после первоначальной настройки.
Итак, да, удалить setup.php
и удалить весь setup
каталог.
Шаги для Защита вашей установки phpMyAdmin представлены в документации phpMyAdmin. Это включает удаление всего установочного каталога после установки.
Вы также можете улучшить безопасность,
В общем, в таких ситуациях вы всегда можете создать ограничения на основе каталогов для вашего виртуального хоста Apache. Таким образом, вам не нужно удалять файлы, о которых вы точно не знаете, можно ли их удалить. Это также предотвратит возврат этих файлов при обновлениях. Если вам нужна более общая защита от автоматического сканирования уязвимостей, вы можете использовать Fail2ban.