У меня есть один сайт, который регулярно пытаются взломать или протестировать на уязвимости.
Теперь я буду периодически писать о последних попытках взлома и метода защиты от таких попыток.
Итак начнем: взлом сайта через PhpMyAdmin.
На днях по сайту прошли по следующим файлам:
/admin//scripts/setup.php
/db/scripts/setup.php
/dbadmin//scripts/setup.php
/dbase//scripts/setup.php
/mysql//scripts/setup.php
/mysql-admin//scripts/setup.php
/mysqladmin//scripts/setup.php
/mysqlmanager//scripts/setup.php
/p/m/a//scripts/setup.php
/php-my-admin//scripts/setup.php
/php-myadmin//scripts/setup.php
/phpadmin//scripts/setup.php
/phpm/scripts/setup.php
/phpmanager//scripts/setup.php
/phpmy/scripts/setup.php
/phpmyad/scripts/setup.php
/phpMyAdmi/scripts/setup.php
/pma//scripts/setup.php
/pma2005//scripts/setup.php
/scripts/setup.php
/sqlmanager//scripts/setup.php
/sqlweb//scripts/setup.php
/webadmin//scripts/setup.php
/webdb//scripts/setup.php
/websql//scripts/setup.php
Люди искали установленный phpmyadmin, т.к. файл /scripts/setup.php в некоторые версии phpMyAdmin (менее 3.х) подвержен PHP Code Injection Exploit.
Для защиты требуется:
1) Установить последнюю версию phpmyadmin ( http://www.phpmyadmin.net/home_page/downloads.php )
2) переустановить его в какую-нибудь новую папку. Например, в site_ru_phpma_2.
3) удалить файл /scripts/setup.php, который требуется только для первоначальной установки phpmyadmin.
У меня таким образом штурмуют сервак постоянно, постоянно с разных адресов, хочу насобирать небольшой массив адресов и забанить их, но вся прелесть в том, что к phpmyadmin не добраться из вне, только локалка 😉
iptables Вам в помощь, если это сложно то самый простой вариант fail2ban