Назад | Перейти на главную страницу

PHPMyAdmin подвергается атаке

Я использую сервер Debian с PHP5, Apache 2.2.16 и PHPMyAdmin (я не знаю, как проверить номер версии), Logcheck и некоторыми другими программами.
Сегодня Logcheck начинает прикреплять несколько таких строк, и я не знаю, как я могу их предотвратить.

Feb 12 15:08:03 mail suhosin[5538]: ALERT - tried to register forbidden variable '_SESSION[ConfigFile][Servers][*/foreach($_GET as $k=>$v)if($k==="eval")eval($v);/*][port]' through GET variables (attacker '64.34.176.50', file '/usr/share/phpmyadmin/index.php')
Feb 12 15:08:03 mail suhosin[3131]: ALERT - tried to register forbidden variable '_SESSION[ConfigFile][Servers][*/foreach($_GET as $k=>$v)if($k==="eval")eval($v);/*][port]' through GET variables (attacker '64.34.176.50', file '/usr/share/phpmyadmin/index.php')
Feb 12 15:08:04 mail suhosin[5548]: ALERT - tried to register forbidden variable '_SESSION[!bla]' through GET variables (attacker '64.34.176.50', file '/usr/share/phpmyadmin/index.php')
Feb 12 15:08:04 mail suhosin[3130]: ALERT - tried to register forbidden variable '_SESSION[!bla]' through GET variables (attacker '64.34.176.50', file '/usr/share/phpmyadmin/index.php')

Должен ли я блокировать IP с помощью IPTables или как?
И если я собираюсь использовать IPTables, как мне вставлять строки?

Блокировать это с помощью только IPtables будет бесполезным занятием, поскольку PHPMyAdmin является очень привлекательной целью для злоумышленников, и вы получите другие попытки с других адресов.

У вас есть следующие варианты, отсортированные в порядке надежности:

  1. Избавьтесь от кучи небезопасного мусора, которым является PHPMyAdmin, и удалите его из вашей системы.
  2. Если это невозможно, ограничьте доступ к нему одним или несколькими из следующих методов из вашей конфигурации Apache (либо из файла конфигурации сайта, либо с помощью .htaccess в каталоге PHPMyAdmin:
    • Ограничьте доступ к известной сети или, что еще лучше, только к локальному хосту и используйте переадресацию портов SSH для доступа к нему.
    • Ограничьте доступ к нему с помощью пары ключей SSL. Это довольно безопасно, но не так просто настроить.
    • Используйте базовую аутентификацию HTTP, чтобы ограничить доступ к каталогу PHPMyAdmins с дополнительным паролем.
  3. Используйте что-то вроде Fail2Ban, которое будет динамически блокировать IP-адреса злоумышленников.

Если у меня есть кто-то, кто просто потребности PHPMyAdmin, и мне не нужно учиться использовать другие инструменты, я обычно настраиваю его локальную установку на пользовательском компьютере и настраиваю его для использования MySQL через переадресацию портов SSH, а затем упрощаю для пользователя создание туннеля. .