PHPMyAdmin 被攻击

Question

我正在运行带有 PHP5、Apache 2.2.16 和 PHPMyAdmin（我不知道如何检查版本号）、Logcheck 和其他一些程序的 Debian 服务器。
今天Logcheck开始像这样附加多行，我不知道如何防止它们

Feb 12 15:08:03 mail suhosin[5538]: ALERT - tried to register forbidden variable '_SESSION[ConfigFile][Servers][*/foreach($_GET as $k=>$v)if($k==="eval")eval($v);/*][port]' through GET variables (attacker '64.34.176.50', file '/usr/share/phpmyadmin/index.php')
Feb 12 15:08:03 mail suhosin[3131]: ALERT - tried to register forbidden variable '_SESSION[ConfigFile][Servers][*/foreach($_GET as $k=>$v)if($k==="eval")eval($v);/*][port]' through GET variables (attacker '64.34.176.50', file '/usr/share/phpmyadmin/index.php')
Feb 12 15:08:04 mail suhosin[5548]: ALERT - tried to register forbidden variable '_SESSION[!bla]' through GET variables (attacker '64.34.176.50', file '/usr/share/phpmyadmin/index.php')
Feb 12 15:08:04 mail suhosin[3130]: ALERT - tried to register forbidden variable '_SESSION[!bla]' through GET variables (attacker '64.34.176.50', file '/usr/share/phpmyadmin/index.php')

我应该使用 IPTables 还是如何阻止 IP？
如果我要使用 IPTables，我应该如何插入行？

Answer 1

仅使用 IPtables 阻止此操作将是徒劳的，因为 PHPMyAdmin 是攻击者的一个非常有吸引力的目标，您将从其他地址获得其他尝试。

您有以下选项，按可靠性排序：

1. 摆脱不安全的垃圾堆 PHPMyAdmin 并将其从系统中删除。
2. 如果这是不可能的，请使用 Apache 配置中的以下一种或多种方法（站点配置文件或 PHPMyAdmin 目录中的 .htaccess 来限制对它的访问：
   • 限制对已知网络的访问，甚至更好地仅限于本地主机，并使用 SSH 端口转发来访问它。
   • 使用 SSL 密钥对限制对其的访问。这是非常安全的，但不是很容易设置。
   • 使用 HTTP 基本身份验证通过附加密码限制对 PHPMyAdmins 目录的访问。
3. 使用 Fail2Ban 之类的东西，可以动态阻止攻击者的 IP 地址。

如果我有一个只需要PHPMyAdmin 并且懒得学习使用其他工具的人，我通常会在用户的机器上设置它的本地安装并配置它通过 SSH 端口转发使用 MySQL，然后让它变得容易供用户建立隧道。