04 - February - 2011

Tentativo di accesso illecito tramite phpmyadmin

Ciao a tutti,

vorrei segnalare che in questi giorni ho trovato su alcune mie macchine dei log di Apache che definirei buffi. Qualche simpaticone, ha sistematicamente cercato di verificare se le installazioni di phpMyAdmin (noto tool di gestione via web di MySQL), avvessero attivo il seguente URI: /scripts/setup.php

Ma cosa c’è di bello li dentro? Setup.php è una paginetta che permette di fare alcune operazioni come creare un DB, caricare dei file in una directory, etc…

AGGIORNAMENTO:

Ho notato che gli attacchi di questi ultimi giorni sembrano sfruttare un dizionario del path, comprendendo anche soluzioni di questo tipo. Io quantomeno aggiungerei anche almeno una Basic Authentication su quel percorso e magari anche su tutta directory che interessa phpmyadmin (sempre ammeno che non diate accesso phpmyadmin ai vostri clienti).

Cercando un po in giro, questo attacco sembra andare a cercare versioni di phpmyadmin non aggiornate: è noto che versioni di phpmyadmin inferiori alla 3.2.4 posso permettere l’esecuzione di codice remoto sul server.

Secondo Live Hacking (in un post del 13 Agosto 2010, http://www.livehacking.com/2010/08/13/phpmyadmin-vulnerability-and-brute-force-ssh-attacks/), è possibile che venga associata l’esecuzione del tool dd_ssh che sembra essere in qualche modo in grado di eseguire codice con privilegi di root (anche se non da ulteriori informazioni). dd_ssh viene in gerato caricato in /tmp o suoi parenti stretti.

Quindi attenzione!

Stay tuned!

Diego

Leave a Reply