DirectAdmin - это удобная панель управления хостингом. Легкость в настройке, легкость в использовании!
ДиректАдмин - это самая быстрая и нересурсоемкая панель из всех существующих коммерческих панелей управления для хостинга. Бесплатные и регулярные обновления версии панели DirectAdmin на протяжении всего времени ее использования заметно выделяют ее среди других.



Закрываем утечку MySQL логинов на сервере с Directadmin

29.07.16 10:41

Недавно была обнаружена утечка логинов к серверу MySQL через логи phpMyAdmin на серверах с Directadmin. И здесь мы приведем возможное решение данной ситуации.

Проверяем

В директории log можно найти журналы phpMyAdmin, в которые пишутся сообщения об успешных и провальных авторизациях с указанием логина и IP адреса. Таким образом злоумышленник может получить список действующих юзернеймов для последующей атаки путем подбора паролей. 

Проверить уязвим ли ваш сервер или нет можно следующим способом:

Открываем в браузере адрес http://domain.com/phpMyAdmin/log/ или http://domain.com/phpmyadmin/log/ (обязательно меняем domain.com на реальное доменное имя, которое размещается на сервере в Directadmin).

В случае наличия уязвимости вы получите список файлов из директории:


В случае, если уязвимость прикрыта вы получите ошибку доступа: "You don't have permission to access /phpMyAdmin/log/ on this server."

Защищаемся

Создаем файлик:

touch /etc/httpd/conf/extra/httpd-custom-poralix.conf
vi /etc/httpd/conf/extra/httpd-custom-poralix.conf

со следующим содержимым:

<Directory "/var/www/html">
     Options -Indexes
</Directory>
<Directory "/var/www/html/*/log">
     Deny from all
</Directory>
<Directory "/var/www/html/*/sql">
     Deny from all
</Directory>

подключаем его к конфигу и рестартим Apache:

echo "Include /etc/httpd/conf/extra/httpd-custom-poralix.conf " | tee -a "/etc/httpd/conf/extra/httpd-includes.conf"
service httpd restart

Удачи!





Рубрики: DirectAdmin MySQL Защита Безопасность phpmyadmin


« Установка NGINX mainline с помощью CustomBuild 2 на сервере с Directadmin  | В начало |  Прикрываем уязвимость HTTPoxy на серверах с Directadmin »



Вам нужна помощь или консультация по данному руководству?! Задайте свой вопрос на форуме. Вам нужен профессионал?! Воспользуйтесь услугами системного администратора для работ по вашему серверу. Мы поможем вам с переездом, настройкой, оптимизацией сервисов, равно как и с другими вопросами по части Linux/Unix.







   Все права на панель управления Directadmin принадлежат разработчику © DirectAdmin, JBMC Software, Canada
   К вашим услугам плагины для Директадмин - панели управления хостингом
   Лучшее предложение по установке, поддержке Directadmin на CentOS/RedHat, Debian/Ubuntu, FreeBSD.
   Профессиональное абонентское обслуживание серверов: выделенных и виртуальных на базе Linux/Unix.
   Услуги системного администратора по настройке WEB сервера Apache (NGINX), DNS службы, POP3 (IMAP) и SMTP, FTP.
 Copyright, 2017 © DAHELP.RU, all rights reserved.
Работает на Amiro CMS - Free