Как я реагирую, когда кто-то пытается предположить администраторские каталоги на моем веб-сайте?
Я получал эти сообщения в апачском error.log долгое время:
[client 217.197.152.228] File does not exist: /var/www/phpmyadmin
[client 217.197.152.228] File does not exist: /var/www/pma
[client 217.197.152.228] File does not exist: /var/www/admin
[client 217.197.152.228] File does not exist: /var/www/dbadmin
[client 217.197.152.228] File does not exist: /var/www/myadmin
[client 217.197.152.228] File does not exist: /var/www/PHPMYADMIN
[client 217.197.152.228] File does not exist: /var/www/phpMyAdmin
И намного более различные адреса. Похож на кого-то, пытается предположить, где мои приложения администрирования расположены. Чего я должен бояться в этой ситуации, и что знание моих администраторских адресов может дать взломщику, если все защищено паролем?
5 ответов
Если все хорошо заблокировано, ничего не бойтесь. Это просто автоматические атаки, которые происходят с каждым существующим URL. То же самое происходит со мной, а я даже не запускаю PHP на своем сервере.
Если у вас нет последних патчей (как, например, для WordPress), то да, это большая проблема, но ее относительно легко решить.
Если вы все защитили, ничего страшного. http://217.197.152.228/phpmyadmin/ <- здесь работает ваш phpmyadmin. Кажется, он защищен проходом и т. Д., Так что не беспокойтесь слишком сильно!
Существуют некоторые эксплойты, которые фактически раскрывают информацию, ваш phpmyadmin уязвим для некоторых атак:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0204
Возможно, вам стоит проверить документацию по эксплойтам в вашей версии phpmyadmin.
Если они найдут страницу входа, они могут попытаться провести атаку методом грубой силы или другой способ взлома пароля.
В этих случаях, если есть IP-адрес, который постоянно демонстрирует такое поведение, мы блокируем его с помощью denyhosts и ModSecurity .
Похоже, он ищет установки PHPMySQLAdmin, вероятно, чтобы автоматически попытаться использовать известные эксплойты на старых версиях.
Если вы не используете PHPMyAdmin, все должно быть в порядке. Если используете, убедитесь, что он обновлен до последней версии, и, возможно, переместите его на URL-адрес, который нельзя угадать.
если у вас есть административные папки или папки с ограниченным доступом, вы можете настроить их в htaccess, чтобы ограничить доступ только к вашему IP-адресу или диапазону IP-адресов, как это
<Directory /var/www/AdminFolder/>
Options FollowSymLinks
Order Deny,Allow
Deny from all
Allow from 128.98.2.4 # your ip only
</Directory>
Это будет только хорошее решение, если у вас статический IP-адрес, но тогда вы будете полностью уверены, что будете единственным, кто попадет в административную папку