Jeden nepovedený útok
Kdysi dávno jsem u kamaráda viděl, jak se hlásil do phpMyAdminu na jeho serveru. Zadal nějakou naprosto šílenou URL a byl tam, žádné přihlašování. Je tajná URL adresa k webovskému administračnímu rozhraní (k čemukoli) dostatečným zabezpečením? Samozřejmě že není, ale je to úplně jedno. Pokud k danému adminu přistupujete přes HTTP, je to naprosto totožné jako přihlášení s funkčním heslem přes web form nebo přes HTTP autentizaci – ve všech případech se po drátě posílají nešifrovaná data, a tudíž i nešifrované heslo (či tajný název adresáře).
Jediný drobný rozdíl, který by vás snad mohl od takovéhohle „zabezpečení“ odradit je, že narozdíl od POST dat z formuláře nebo „Authorization: Basic“ hlavičky se bude vaše „tajné“ url zřejmě ukládat do nějakého logu po cestě, především pokud Váš provider používá proxy (což nemusíte ani vědět).
Je až s podivem, kolik lidí ale phpMyAdmin nechá dokonce na „netajném“ (uhádnutelném) URL. Dnes jsem při prohlídce error logu natrefil na bota, který zkoušel umístění mého phpMyAdminu uhádnout. Tyhle všechny adresáře zkoušel (všimněte si, že po sobě nechal podpis. Znáte někdo ten tool který to hádání provádí? podělte se v komentářích):
/home/www/w00tw00t.at.blackhats.romanian.anti-sec:)
/home/www/bazapma
/home/www/my
/home/www/cp
/home/www/admin/cp
/home/www/MyAdmin9
/home/www/tools
/home/www/tools
/home/www/_admin
/home/www/_myadmin
/home/www/_scripts
/home/www/_admin
/home/www/3rdparty
/home/www/PHPMYADMIN
/home/www/PMA
/home/www/PMA2005
/home/www/SQL
/home/www/SSLMySQLAdmin
/home/www/admin/phpmyadmin
/home/www/admin/pma
/home/www/admin/scripts
/home/www/bbs
/home/www/cpadmin
/home/www/cpadmindb
/home/www/cpanelmysql
/home/www/cpanelphpmyadmin
/home/www/cpanelsql
/home/www/cpdbadmin
/home/www/cpphpmyadmin
/home/www/db
/home/www/dbadmin
/home/www/myadmin
/home/www/mysql
/home/www/mysqladminconfig
/home/www/mysqlmanager
/home/www/p
/home/www/pMA
/home/www/php-my-admin
/home/www/php-myadmin
/home/www/phpMyAdmin-2.2.3
/home/www/phpMyAdmin-2.2.6
/home/www/phpMyAdmin-2.5.1
/home/www/phpMyAdmin-2.5.4
/home/www/phpMyAdmin-2.5.5-pl1
/home/www/phpMyAdmin-2.5.5-rc1
/home/www/phpMyAdmin-2.5.5-rc1config
/home/www/phpMyAdmin-2.5.5-rc2
/home/www/phpMyAdmin-2.5.5
/home/www/phpMyAdmin-2.5.6-rc1
/home/www/phpMyAdmin-2.5.6-rc2
/home/www/phpMyAdmin-2.5.6
/home/www/phpMyAdmin-2.5.7-pl1
/home/www/phpMyAdmin-2.5.7
/home/www/phpMyAdmin-2.6.0-alpha
/home/www/phpMyAdmin-2.6.0-alpha2
/home/www/phpMyAdmin-2.6.0-beta1
/home/www/phpMyAdmin-2.6.0-beta2
/home/www/phpMyAdmin-2.6.0-pl1
/home/www/phpMyAdmin-2.6.0-pl2
/home/www/phpMyAdmin-2.6.0-pl3
/home/www/phpMyAdmin-2.6.0-rc1
/home/www/phpMyAdmin-2.6.0-rc2
/home/www/phpMyAdmin-2.6.0-rc3
/home/www/phpMyAdmin-2.6.0
/home/www/phpMyAdmin-2.6.1-pl1
/home/www/phpMyAdmin-2.6.1-pl2
/home/www/phpMyAdmin-2.6.1-pl3
/home/www/phpMyAdmin-2.6.1-rc1
/home/www/phpMyAdmin-2.6.1-rc2
/home/www/phpMyAdmin-2.6.1
/home/www/phpMyAdmin-2.6.2-beta1
/home/www/phpMyAdmin-2.6.2-pl1
/home/www/phpMyAdmin-2.6.2-rc1
/home/www/phpMyAdmin-2.6.2
/home/www/phpMyAdmin-2.6.3-pl1
/home/www/phpMyAdmin-2.6.3-rc1
/home/www/phpMyAdmin-2.6.3
/home/www/phpMyAdmin-2.6.4-pl1
/home/www/phpMyAdmin-2.6.4-pl2
/home/www/phpMyAdmin-2.6.4-pl3
/home/www/phpMyAdmin-2.6.4-pl4
/home/www/phpMyAdmin-2.6.4-rc1
/home/www/phpMyAdmin-2.6.4
/home/www/phpMyAdmin-2.7.0-beta1
/home/www/phpMyAdmin-2.7.0-pl1
/home/www/phpMyAdmin-2.7.0-pl2
/home/www/phpMyAdmin-2.7.0-rc1
/home/www/phpMyAdmin-2.7.0
/home/www/phpMyAdmin-2.8.0-beta1
/home/www/phpMyAdmin-2.8.0-rc1
/home/www/phpMyAdmin-2.8.0-rc2
/home/www/phpMyAdmin-2.8.0.1
/home/www/phpMyAdmin-2.8.0.2
/home/www/phpMyAdmin-2.8.0.3
/home/www/phpMyAdmin-2.8.0.4
/home/www/phpMyAdmin-2.8.0
/home/www/phpMyAdmin-2.8.1-rc1
/home/www/phpMyAdmin-2.8.1
/home/www/phpMyAdmin-2.8.2
/home/www/phpMyAdmin-2
/home/www/phpMyAdmin
/home/www/phpMyAdmin2
/home/www/phpadmin
/home/www/phpmanager
/home/www/phpmy-admin
/home/www/phpmya
/home/www/phpmyadmin
/home/www/phpmyadmin1
/home/www/phpmyadmin2
/home/www/pma
/home/www/pma2005
/home/www/roundcube
/home/www/scripts
/home/www/sl2
/home/www/sqladmin
/home/www/sqlmanager
/home/www/sqlweb
/home/www/typo3
/home/www/web
/home/www/web
/home/www/webadmin
/home/www/webdb
/home/www/websql
/home/www/xampp
/home/www/~
/home/www/pmy
/home/www/published
/home/www/wbsadmin
/home/www/vhcs2
/home/www/tools
/home/www/phpadmin
/home/www/phpMyAdmin-2.11.4
/home/www/administrator
/home/www/Admin
/home/www/phpmyadmin_old
/home/www/phpmyadmino-ld
/home/www/test
/home/www/my
/home/www/databaseadmin
/home/www/admm
/home/www/admn
-
Související články na blogu Tomas M
-
MySQL Master-Slave replikace 26. 4. 2012 11:15
-
ORDER BY RAND() je zlo 5. 6. 2011 22:41
-
-
Související články na ostatních blozích
-
ZABBIX a neočekávaný nárůst velikosti databáze 4. 9. 2023 12:20
-
Maria! Jak jste na tom? 23. 9. 2013 13:30
-
-
Související články na serveru Root.cz
-
Postřehy z bezpečnosti: AI pomáhá tvořit malware, obcházení MFA u M365 14. 10. 2024 0:00
-
Migrace databázového schématu v ekosystému programovacího jazyka Go 18. 7. 2023 0:00
-
Postřehy z bezpečnosti: e-mail by chtěl spouštět kód 24. 10. 2022 0:00
-
Softwarová sklizeň (1. 6. 2022): přepis znaků z obrazovky a automatické zálohy 1. 6. 2022 0:00
-
Debian 9 Stretch je tu: firewall nftables a konec MySQL 19. 6. 2017 0:00
-
Databáze MariaDB válcuje MySQL 21. 12. 2012 0:00
-
-
Tomas M (neregistrovaný)
[1] no tak samozrejme ze si to sam taky muzu napsat, me spis slo o to, jestli je to nejaky uceleny viceucelovy nastroj, ktery krome tohohle testu obsahuje celou radu jinych testu na mozne problemy a dal by se tudiz pouzit na nejake zakladni otestovani vlastnich webu obecne...
-
Jan Garaj (neregistrovaný)
[1] Vyzera to na http://cirt.net/nikto2, avsak s upravenym pluginom db_tests
-
kenny (neregistrovaný)
Tohle sem nedavno odstranoval ze serveru jednoho klienta.
je to tohle: http://theta.tk/wiki/ZmEu/public_source
celkem sranda je ze to prepise celkem dost binarek na systemu. (ls, lsof, netstat, top, md5sum, find, ....) a nastavi jim atributy ze nejdou normalne smazat pomuze (chattr -sia $filename)
potom je potreba preinstalovat ty baliky ve kterych ty binarky jsou, dal to modifikuje inittab a po startu si to spousti ttyload.
je to celkem opruz odstranit.
celkem dobra ochrana je povolit pristup na phpmyadmin jen z urcitych IP.
-
LWQ (neregistrovaný)
Ja osobne pouzivam pro PMA jinej adresar nez zakladni, plus HTTPS. Omezovat pristup z seznamu adres neni mozne, kdyz tam pristupuju z UMTS pripojeni. Leda bych lezl pres nejaky svuj proxy server ...
AD odkaz na otevrene PMAcka: dost mazec :-) blbost ci neznalost lidi opet posouva hranice :-D
-
v6ak (neregistrovaný)
Jo, koupil jsem si VPSku, rozjel na ní Tomcat a v logu se mi snad druhý den začaly tyto adresy objevovat taky. Takže asi někteří boti scannují IP adresy, veřejně jsem na to link nedával.
Nejvíc vtipné bylo, že v té době jsem tam neměl Apache httpd, neměl MySQL a neměl PHP (a neměl PhpMyAdmina).
-
alfi (neregistrovaný)
[12] to je úplně jedno, co tam běží. hrubou silou je třeba zkusit všechno :) a už vůbec nejde o konkrétní cíl, jen získat co nejvíc botů, ať už jsou kdekoliv..
už se těším, až se pořádně rozšíří IPv6 a každý bude mit hromady adres. dneska už téměř každá vygenerovaná IPv4 adresa existuje a dá se tak oskenovat. pak bude existovat třeba jen jedna z několika (desítek) tisíc a podobný sken přes úplně všechny adresy bude hodně, hodně neefektivní :) (a jako se dnes kupují seznamy emailů, možná se budou prodávat i seznamy v6 adres, které už někdy fungovaly..)
-
maarty (neregistrovaný)
Potvrzuji - tyto útoky jsem zaznamenal již před rokem - od té doby téměř pravidelně probíhají poslední půlrok jsou čím dál tím častější.
Nutno dodat, že jsou neúspěšné - nemám phpmyadmin nainstalován.
Našel jsem ještě jeden podobný "podpis": w00tw00t.at.ISC.SANS.DFind:)
(dělá to samé - opět hledá phpmyadmin)
ČLÁNKY DO MAILU