linux user group brescia

Ho notato che gli attacchi di questi ultimi giorni sembrano sfruttare un
dizionario del path, comprendendo anche soluzioni di questo tipo. Io
quantomeno aggiungerei anche almeno una Basic Authentication su quel
percorso e magari anche su tutta directory che interessa phpmyadmin (sempre
ammeno che non diate accesso phpmyadmin ai vostri clienti).

Cercando un po in giro, questo attacco sembra andare a cercare versioni di
phpmyadmin non aggiornate: è noto che versioni di phpmyadmin inferiori alla
3.2.4 posso permettere l'esecuzione di codice remoto sul server.

Secondo Live Hacking (in un post del 13 Agosto 2010,
http://www.livehacking.com/2010/08/13/phpmyadmin-vulnerability-and-brute-force-ssh-attacks/),
è possibile che venga associata l'esecuzione del tool dd_ssh che sembra
essere in qualche modo in grado di eseguire codice con privilegi di root
(anche se non da ulteriori informazioni). dd_ssh viene in gerato caricato in
/tmp o suoi parenti stretti.

Diego

2011/2/4 Ivan Agliardi <ivan.agliardi a tetragono.com>

> Il 04/02/2011 09:35, Diego Giardinetto ha scritto:
> > E' qualche giorno che su alcune mie macchine qualche simpaticone sta
> > tentando di verificare se esiste ed è accessibile la seguente path:
> > http://<dominio>/phpmyadmin/scripts/setup.php
>
> Confermo, succede costantemente anche a me, suggerisco a chi ha problemi
> di questo tipo - ma anche a chi ancora non ne ha - di cambiare sempre i
> percorsi di default delle applicazioni più note, ad esempio, correggendo
> il file /etc/apache2/conf.d/phpmyadmin.conf come segue e riavviando poi
> subito apache2:
>
> #Alias /phpmyadmin /usr/share/phpmyadmin
> Alias /AreaRiservata/PHPMyAdmin /usr/share/phpmyadmin
>
> In questo modo almeno gli script che cercano i percorsi standard non
> trovano possibili script bacati, come cercano di fare nel tuo caso.
>
> Buona giornata e buon lavoro a tutti ;)
>
> --
> Ivan Agliardi
>
> TETRAGONO.com - Applicazioni per il web
> via Baldassarre Zamboni, 107
> 25126 Brescia (BS) - Italy
> P.IVA: IT-03507860165
> R.E.A.: BS-516029
>
> **** Associato StudioBIC.com ****
>
> Tel: (+39) 030 291437 <tel:+39030291437>
> Cel: (+39) 331 6272460 <tel:+393316272460>
> Fax: (+39) 030 7772060 <tel:+390307772060>
> Web: http://www.tetragono.com
> Email: ivan.agliardi a tetragono.com
> Skype: ivan.agliardi
> Twitter: http://twitter.com/IvanAgliardi
>
> PRIVACY. In ottemperanza al D.L. 196 del 30/6/2003 in materia di
> protezione dei dati personali, le informazioni contenute in questo
> messaggio sono strettamente riservate ed esclusivamente indirizzate al
> destinatario. Qualsiasi uso, riproduzione o divulgazione di questo
> messaggio e' vietato! Se lo avete ricevuto per errore, avvertite il
> mittente e distruggetelo. Grazie.
>
> --
> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>



-- 
*Diego Giardinetto
*Founder & Systems Engineering

*Kiwi Soluzioni Informatiche*
Immagina un mondo dove la tecnologia sia accessibile a tutti

*E-Mail*: diego<dot>giardinetto<at>kiwisi<dot>com
*Mobile*: +39 392 73 47 222
* MSN*: cpuoverload a hotmail.it
*Skype*: cpuzorro
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20110204/4cac3e4f/attachment.html>