image

SourceForge vindt backdoor in phpMyAdmin

woensdag 26 september 2012, 10:30 door Redactie, 4 reacties

Een mirror van de bekende downloadsite SourceForge heeft enige tijd een besmette versie van phpMyAdmin aangeboden, die door honderden mensen is gedownload. phpMyAdmin is een programma dat wordt gebruikt voor het beheren van databases en wordt op webservers geïnstalleerd. SourceForge is een platform voor open source projecten.

De software wordt vanaf verschillende downloadservers in de wereld aangeboden, de zogeheten mirrors. Op een Koreaanse mirror genaamd 'cdnetworks-kr-1' wisten aanvallers een versie van phpMyAdmin te plaatsen met een backdoor. De aanval op de mirror zou rond 22 september hebben plaatsgevonden.

Het bestand in kwestie heet phpMyAdmin-3.5.2.2-all-languages.zip en werd alleen via de gehackte Koreaanse mirror aangeboden. SourceForge denkt dat het bestand alleen op de Koreaanse mirror is aangepast, maar voert verder onderzoek uit om dit te bevestigen. Besmette installaties bevatten het bestand server_sync.php.

Slachtoffers
Uit de downloadlogs blijkt de besmette phpMyAdmin door zo'n 400 gebruikers is gedownload. De gebruikers die aan de hand van de logs waren te identificeren zijn via e-mail gewaarschuwd. De backdoor zorgt ervoor dat een aanvaller commando's met de rechten van de webserver-gebruiker kan uitvoeren.

Een concreet advies geeft SourceForge niet aan gebruikers, die volgens de website het risico voor zichzelf moeten inschatten. "Downloaders lopen risico als ze het besmette bestand hebben gedownload, geïnstalleerd op een server en de server ingeschakeld. Het controleren van weblogs en andere servergegevens moet helpen bij het bevestigen of de backdoor is benaderd."

Ook phpMyAdmin heeft een waarschuwing voor de backdoor afgegeven. De backdoor is inmiddels ook aan hackertool Metasploit toegevoegd.

Reacties (4)
26-09-2012, 10:39 door Anoniem
Dit soort tools moet je gewoon nooit internet-facing op je server zetten.
(net zoals je je MySQL poort niet naar internet open zet)
26-09-2012, 12:59 door wizzkizz
Door Anoniem: Dit soort tools moet je gewoon nooit internet-facing op je server zetten.
(net zoals je je MySQL poort niet naar internet open zet)
Ik ben het met je eens dat dat inderdaad niet de voorkeur heeft, zelf luistert het op mijn (dev) server alleen op localhost waarmee ik via een SSH-tunnel verbinding kan maken en dmv port-forwarding het in mijn eigen browser kan bekijken.

Maar je kunt dit niet van iedereen verwachten, de doorsnee hoster met doorsnee klanten komt hier waarschijnlijk niet mee weg. Plus dat er ook voor internet-facing MySQL databases natuurlijk genoeg use-cases te bedenken zijn, alleen hopelijk dan wel getunneld via SSL.
26-09-2012, 13:33 door Anoniem
Daarom gebruik je een Linux distrubutie op je server en installeer je een package. De package file is gehashed, etc. dus dat maakt het veel minder waarschijnlijk dat het mis gaat.
27-09-2012, 12:49 door Anoniem
Daarom zet je admin panels achter een ACL en patch en harden je die meuk zo veel mogelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.