PHPMyAdmin Scan

Rund um die Sicherheit des Systems und die Applikationen
raid
Posts: 119
Joined: 2003-08-01 09:32
 

PHPMyAdmin Scan

Post by raid »

Hallo in die Runde!

Sagt mal ist irgendwie ein neues Tool für Scriptkiddies am Markt erschienen? In den letzten Tagen habe ich leider bei meinem Server, dem von unserem Verein und bei Freunden feststellen müssen, dass nach phpMyAdmin gescannt wird und ist es einmal gefunden, wird die Bruteforce-Attacke ohne Rücksicht auf Verluste gestartet.

Ganz kleiner Auszug:

Code: Select all

12.345.678.99 - - [20/May/2011:07:17:10 +0200] "GET //phpMyAdmin-2.8.0-beta1/scripts/setup.php HTTP/1.1" 404 1051 "-" "-"
12.345.678.99 - - [20/May/2011:07:17:10 +0200] "GET //phpMyAdmin-2.8.0-rc1/scripts/setup.php HTTP/1.1" 404 1051 "-" "-"
12.345.678.99 - - [20/May/2011:07:17:10 +0200] "GET //phpMyAdmin-2.8.0-rc2/scripts/setup.php HTTP/1.1" 404 1051 "-" "-"
12.345.678.99 - - [20/May/2011:07:17:10 +0200] "GET //phpMyAdmin-2.8.0/scripts/setup.php HTTP/1.1" 404 1051 "-" "-"
12.345.678.99 - - [20/May/2011:07:17:10 +0200] "GET //phpMyAdmin-2.8.0.1/scripts/setup.php HTTP/1.1" 404 1051 "-" "-"
12.345.678.99 - - [20/May/2011:07:17:10 +0200] "GET //phpMyAdmin-2.8.0.2/scripts/setup.php HTTP/1.1" 404 1051 "-" "-"
12.345.678.99 - - [20/May/2011:07:17:10 +0200] "GET //phpMyAdmin-2.8.0.3/scripts/setup.php HTTP/1.1" 404 1051 "-" "-"
12.345.678.99 - - [20/May/2011:07:17:10 +0200] "GET //phpMyAdmin-2.8.0.4/scripts/setup.php HTTP/1.1" 404 1051 "-" "-"
12.345.678.99 - - [20/May/2011:07:17:10 +0200] "GET //phpMyAdmin-2.8.1-rc1/scripts/setup.php HTTP/1.1" 404 1051 "-" "-"
12.345.678.99 - - [20/May/2011:07:17:10 +0200] "GET //phpMyAdmin-2.8.1/scripts/setup.php HTTP/1.1" 404 1051 "-" "-"
12.345.678.99 - - [20/May/2011:07:17:10 +0200] "GET //phpMyAdmin-2.8.2/scripts/setup.php HTTP/1.1" 404 1051 "-" "-"
Mal abgesehen von der Tatsache, dass man dem phpMyAdmin Verzeichnis einen kryptischen Name geben sollte, wie könnte man die Leute die solche Aktionen machen filtern?

Mod_Evasive hat hier offenbar nicht gegriffen, weil es nicht die gleiche URI ist. Ich dachte da noch an fail2ban, aber da wird in letzter Zeit ja viel von abgeraten.

Ich glaub mit den Standard Core Rules von Mod_Security hätte man den Typ hier filtern können, weil die ja allergisch sind gegen Clients ohne User-Agent.

Über Ideen solche Leute zu stoppen wäre ich dankbar ...
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11183
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: PHPMyAdmin Scan

Post by Joe User »

Zugriffe die ohnehin mit 404 vom Webserver beantwortet werden, möchte man gar nicht "filtern", da das Filtern mehr Ressourcen verbraucht als die 404er Antwort des Webservers. Diese Zugriffsversuche gehören zum standardmässigen Grundrauschen eines jeden Webservers und können getrost ignoriert werden.

PHPMyAdmin und andere Verwaltungstools sollte man grundsätzlich nur per SSL-VHost ausliefern und zusätzlich per mod_auth* absichern, mehr ist normalerweise unnötig und führt eher zu unerwarteten Nebenwirkungen.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
User avatar
rudelgurke
Posts: 409
Joined: 2008-03-12 05:36
 

Re: PHPMyAdmin Scan

Post by rudelgurke »

Andere Alternative wäre noch, wenn die Zahl der "Admins" überschaubar ist, derartige Verwaltungstools in einen SSL Vhost zu packen und das Ganze per Client Cert dicht zu machen.
Oder wenn es 1-2 Personen sind könnte man vielleicht noch mit einem SSH Tunnel arbeiten und dass alles lokal erledigen.
Sonst - Abuse Meldung ist zu empfehlen wenn dass Überhand nimmt. Hatte bisher fast nur positive Erfahrungen, außer mit einem großen US Hoster.
Top

Return to “Security”