phpMyAdmin - Hacking

[Ebolo]

Ho subito un hacking, nel senso più stretto del termine ovvero non hanno fatto danni, da parte di un certo "v4 team" ad una macchina.

Fra l'altro non hanno cancellato i log di Apache, non essendo un hacker non so quanto questo fosse possibile, e guardandoli mi sono reso conto che una volta individuato il nome del link di accesso a phpmyadmin hanno lanciato uno script che ha cercato di individuare la versione installata e, suppongo, utilizzato qualche exploit specifico.

Questo preambolo serve a chiedervi quanto quello che è successo sia colpa del fatto che avevo una vecchia versione (2.6.3-rc1) o quanto sia forabile phpmyadmin soprattutto se installato da un profano, che magari non sa di dover prendere accorgimenti specifici quando installa un determinato prodotto.

Grazie, Ebolo.

[Ebolo]

Ok riformulo la domanda che mi sembra di essere stato molto contorto:

Cerco qualche specifica per l'installazione di phpmyadmin in "totale" sicurezza o cambio prodotto per la gestione del DB? (si accettano consigli)

Grazie ancora, Ebolo.

[piero.mac]

forse la versione installata che hanno cercato e' quella di mysql.

Per gli applicativi (per tutti gli applicativi) sarebbe bene seguire le evoluzioni del software, perche' oltre alle maggiori prestazioni si hanno progressivamente la chiusura dei bug. La versione che usi tu ha seguito l'upgrade fino alla rel. 2.6.4-pl4 e con mysql 4.0 e forse manco tutte le versioni del 4.1. Sicuramente obsoleta per la versione mysql 5.0

Attualmente e' in linea la versione 2.11.2.1 che chiude anche un possibile bug che permetterebbe una sql injection, bug presente su tutte le versioni precedenti di phpmyadmin. Ma per fare una query injection or not ... bisogna connettersi a mysql. E il punto debole potrebbe proprio essere la password banale usata dallo user.

[Ebolo]

Ti confermo che la vulnerabilità cercata era quella del phpmyadmin, nel log si legge bene cosa stanno cercando.
Il pc era protetto da un firewall che lasciava aperta solo la porta 80 e la 8080 e le pwd non erano banali(alfanumeriche con maiuscole), credo che l'errore che ho fatto sia proprio quello di aver usato una versione RC invece di una versione stable.

Per il resto hai perfettamente ragione, se il tempo lo permettesse ed il mio amministratore di rete non avesse troppo da fare per occuparsi anche del mio server, sarebbe bene aggiornare tutti i programmi alle versioni più recenti presenti in rete.

Che voi sappiate appserv, l'applicativo che mi consente di installare apache+PHP+phpMyAdmin, è considerato sicuro oppure è meglio farsi una installazione ad ok? Mi hanno consigliato di prevedere per phpMyAdmin l'uso di un htaccess, la cosa può essere valida?

Grazie, Ebolo.