Hacking über PhpMyAdmin

[Chino]

Hab leider keine Ahnung davon, daher mal eine generelle Frage:

Oft steht ja in der config Datei für SQL Zugriffe das Datenbankpasswort sehr einfach verschlüsselt oder sogar im Klartext. Da dieses Passwort im Normalfall identisch ist mit dem Login für die PhpMyAdmin Oberfläche kann sich dort theoretisch jeder der die config.php ausgelesen hat einloggen.

Nun gibt is in PhpMyAdmin ja auch die Möglichkeit Befehle auszuführen. Kann man hier z.B. auch .php oder .html Dateien die auf dem selben Webspace liegen verändern?

Hintergrund ist dass eine auf meinem Space gehostete Seite nun schon mehrfach gehackt wurde.

[fassy]

Sicher das du nicht eher Opfer von SQL Injection Angriffen geworden bist? Das ist das Erste was man versucht wenn man eine Möglichkeit zur Dateneingabe und eine Datenbank dahinter vor sich hat.

Warum deaktivisert du PhpMyAdmin nicht einfach, und schaltetest es nur frei wenn du es grade brauchst? Oder sicherst nochmal die Seite zu dem PhpMyAdmin per Apache Directives wie z.B. htaccess

[mr.no-name]

Ich denke nicht, dass ein Zugriff auf phpMyAdmin dafür sorgen kann, dass sich die Dateien auf dem Webspace ändern. Es sei denn, der "Angreifer" hat über diesen Zugang ebenfalls Zugriff auf (unverschlüsselt) abgespeicherte FTP-Nutzer.

Insgesamt stellt sich mir aber die Frage, wieso jemand die Daten einer config.php auslesen können soll, bzw. warum es in diesem Fall dann noch verwunderlich sein soll, dass derjenige kompletten Zugriff auf den Webspace hat ;)

Meine Lösungsvorschläge:

• phpMyAdmin zusätzlich per .htaccess absichern, damit dort keine Sicherheitslücken (des phpMyAdmin Scripts) ausgenutzt werden können
• Dafür sorgen, dass alle auf dem Webspace liegenden Script auf aktuellem Stand sind (Blog-/Foren-/CMS-Softwares, phpMyAdmin selber, usw)
• Mit dem Webspace Anbieter abklären, ob die PHP-Version und die dortigen Einstellungen sicher sind (register globals, etc)
• Wenn das alles erledigt ist, alle FTP-Passwörter neu setzen, sichere Passwörter verwenden und alle Nutzer der Zugänge darum bitten, ihren PC von Viren/Trojanern zu befreien

[PatkIllA]

Oft steht ja in der config Datei für SQL Zugriffe das Datenbankpasswort sehr einfach verschlüsselt oder sogar im Klartext. Da dieses Passwort im Normalfall identisch ist mit dem Login für die PhpMyAdmin Oberfläche kann sich dort theoretisch jeder der die config.php ausgelesen hat einloggen.

Die packt man am besten in einen Ordner, der vom Web nicht zugreifbar ist. Falls möglich in einen Ordner der überhaupt nicht per Webserver erreichbar ist. Ansonsten noch per htaccess alle Zugriff dort verweigern.

Nun gibt is in PhpMyAdmin ja auch die Möglichkeit Befehle auszuführen. Kann man hier z.B. auch .php oder .html Dateien die auf dem selben Webspace liegen verändern?

Man kann da ja "nur" SQL ausführen. Damit kommt man je nach Konfiguration schon mal an sämtliche Daten und kann sie auch manipulieren.
Wichtig ist vor allem ein gutes Passwort zu nutzen und nicht ein Standardpasswort zu haben. Außerdem sollte für den normalen Zugriff über php nicht der root benutzer der Datenbank benutzt werden sondern einer der nur die nötigen Rechte hat.

Hintergrund ist dass eine auf meinem Space gehostete Seite nun schon mehrfach gehackt wurde.

Was läuft denn da so? Bei diversen Blog und CMS-Systemen werden auch regelmäßig Sicherheitslücken aufgespürt. Da muss man halt auch regelmäßig Updates fahren falls man sowas nicht per Repository von seiner Linuxdistro nimmt.

Insgesamt stellt sich mir aber die Frage, wieso jemand die Daten einer config.php auslesen können soll, bzw. warum es in diesem Fall dann noch verwunderlich sein soll, dass derjenige kompletten Zugriff auf den Webspace hat ;)

php hat ja auch immer mal wieder Sicherheitslücken und es passiert ab und zu schon mal, dass der PHP Parser ausfällt und man den Quelltext zu gesicht bekommt. Oder der Seitenprogrammierer liest Dateien zum include direkt aus der URL aus.