Um alvo muito popular de invasores que verificam nossos honeypots é o “phpmyadmin”. phpMyAdmin é um script lançado pela primeira vez no final dos anos 90, antes de muitos conceitos de segurança serem descobertos. Seu rico histórico de vulnerabilidades fez dele um alvo favorito. Sua alternativa, “adminer”, começou a aparecer cerca de uma década depois (https://www.adminer.org). Um de seus principais pontos de “venda” era a simplicidade. Adminer é apenas um único arquivo PHP. Não requer configuração. Copie-o para o seu servidor e você estará pronto para começar. “adminer” tem um histórico de segurança muito melhor e afirma priorizar a segurança em seu desenvolvimento.
Então, como ele lida com as configurações dos parâmetros de conexão do banco de dados? A resposta simples: não. Em vez de usar sua própria autenticação ou controle de acesso, o Adminer simplesmente pede ao usuário que insira o nome de usuário e a senha SQL que deseja usar para se conectar ao banco de dados. Esta certamente não é uma ideia terrível. Deixe o banco de dados lidar com isso! Os bancos de dados SQL possuem controles de acesso robustos, portanto não há necessidade de reinventar a roda. Não ter que armazenar credenciais de banco de dados em um arquivo secreto também elimina várias dores de cabeça de segurança.
Mas… essas credenciais ainda estão, é claro, sujeitas a força bruta. Adminer pensou nisso e só permite 30 tentativas de login em 30 minutos. Pode-se argumentar que isso é “generoso”, mas eles pensaram nisso. O principal ponto fraco provavelmente representa usuários que usam senhas fracas e dependem de autenticação SQL; não existe uma maneira fácil de implementar a autenticação de dois fatores. Adminer mitiga alguns desses problemas com plug-ins de segurança que implementam proteção OTP e outros recursos de segurança.
Isso provavelmente explica por que os invasores estão procurando por ele, e têm feito varredura de forma bastante agressiva ultimamente:
O aumento no número de URLs verificados é digno de nota. Nas verificações do phpMyAdmin, os invasores geralmente tentam encontrar URLs ofuscadas usadas para hospedar o phpMyAdmin, como “/pma/”. Para Adminer, os invasores estão verificando diferentes versões do arquivo. O nome do arquivo divulgado pela Adminer inclui o número da versão e o idioma ou tipo de banco de dados. Por exemplo, “adminer-5.4.2-mysql-en.php” é a versão em inglês do MySQL.
Resumindo: não se esqueça de ler os conselhos de segurança fornecidos pelo Adminer, e você provavelmente não deseja abrir o Adminer na Internet.
—
Johannes B. Ullrich, Ph.D. , Reitor de Pesquisa, SANS.edu
Twitter|
Deseja saber mais sobre Segurança Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.