全球主机交流论坛

标题: pma < 3.3.5 爆漏洞 [打印本页]

作者: domin 时间: 2010-8-15 23:12
标题: pma < 3.3.5 爆漏洞
目前还没有正式通知，不过从多方面发现并且确定pma < 3.3.5版本有漏洞，可能跟scripts/setup.php有关，有漏洞的版本（特别是2.x的）会被黑客利用，上传文件到/tmp，如果/tmp没有做好安全设置，有可能会导致获取root.
建议升级到3.3.5，并且删除scripts/setup.php
不升级的话也要检查一下scripts/setup.php是否已经删除
目前黑客是利用有漏洞的pma上传一个叫dd_ssh的程序到/tmp，该程序用来测试别的服务器SSH弱密码。

作者: Globalization 时间: 2010-8-15 23:17

是真的吗？

作者: domin 时间: 2010-8-15 23:18
嗯，WHT上有说了，看别的论坛也有人汇报了，我们自己监视也有发现。。。
那个setup.php只是安装文件，理论上安装完就应该删除了。这个文件很可能有注入漏洞，建议还是删除吧

作者: Globalization 时间: 2010-8-15 23:25
那个都删除啦

作者: bestroot 时间: 2010-8-16 00:23
提示: 作者被禁止或删除内容自动屏蔽

作者: hfhfg 时间: 2010-8-16 00:29

原帖由 bestroot 于 2010-8-16 00:23 发表
pma 是什么？

phpMyAdmin

作者: Globalization 时间: 2010-8-16 00:30

原帖由 bestroot 于 2010-8-16 00:23 发表
pma 是什么？

PhpMyAdmin

作者: xiasl 时间: 2010-8-16 00:32
标题: 回复 5# 的帖子
PMA是指phpMyAdmin
话说这个漏洞有现成被黑过的案例吗？

[ 本帖最后由 xiasl 于 2010-8-16 00:34 编辑 ]

作者: domin 时间: 2010-8-16 00:43
有的，很多，我经常去的WHT和DA的论坛都有不少用户报告被利用上传了程序，不过黑客除了用程序来扫描其它服务器外没有做其它破坏。
我们也发现有服务器被利用2.x旧版本的pma上传了这个程序，不过由于/tmp设置了noexec,所以除了上传程序到/tmp外并没能做进一步利用。
目前还不清楚这漏洞是怎样的。

作者: Poison 时间: 2010-8-16 01:59
标题: 回复 7# 的帖子
签名有点过了点吧！

作者: 大飞机 时间: 2010-8-16 02:16
··一直在更新

作者: hx 时间: 2010-8-16 02:24
呃，怎么看pma的版本号？

作者: 大飞机 时间: 2010-8-16 02:28

原帖由 hx 于 2010-8-16 02:24 发表
呃，怎么看pma的版本号？

作者: happykk 时间: 2010-8-16 02:47
我设置规则禁止所有IP访问pma，只留下了自己的IP。这样就没事了吧？

作者: domin 时间: 2010-8-18 11:57

原帖由 happykk 于 2010-8-16 02:47 发表
我设置规则禁止所有IP访问pma，只留下了自己的IP。这样就没事了吧？

可以

作者: cuxian 时间: 2010-8-20 09:14
删了去。。。

欢迎光临全球主机交流论坛 (https://ddzzz.eu.org/)