Das Backend-Tool »phpMyAdmin« ist eines der weit verbreitesten Administrationsprogramme auf der Welt. Es läuft zumeist auf öffentlichen Webservern. Wer Zugang zu diesem Tool hat, ist Herr über Datenbanken die CMS, WWS oder CRM-Systeme beinhalten können. Dumm wäre es wenn diese Daten ungeschützt im Netz liegen würden. Ein großer Aufwand ein sicheres System zu programmieren. Die Programmierer von phpMyAdmin machten sich es aber leicht und erklärten in der Readme das Fehlen eines Sicherheitsmechanismuses mit folgendem Satz.
(…)It is recommended that you protect the directory in which you installed phpMyAdmin (unless it’s on a closed intranet, or you wish to use HTTP or cookie authentication), for example with HTTP-AUTH (in a .htaccess file)(…)
Nun soll es aber Benutzer geben die sich der Gefahr eines offenen Backends nicht bewusst sind und die Anweisung schlicht ignorieren. Es soll ja auch welche geben die eine Readme nicht lesen. Die Datenbanken dieser Leute sind nun über das Internet erreichbar. Nicht nur von Menschen, sondern auch von SpiderBots.
Wer in Google nach »”welcome to phpmyadmin” -login -server -denied main« sucht, wird schnell fündig. Der neue MSN-Suchdienst findet sogar noch bessere Treffer. Tausende von Backends stehen offen wie Scheunentore. Auffallend dabei ist, das viele davon verlassen sind. Auf Ihnen sind Graffitis zu finden wie z.B. »Luke was here« oder »Your database is wide open«. Einige wenige allerdings werden benutzt. Sogar welche mit einem CMS das manipuliert werden kann. Die Graffitis finden sich dann allerdings vermehrt auf der Seite selbst.
1 Kommentar
Unglaublich. Aber ich kenne das, habe es selbst einmal so gehalten. In Strato-Zeiten. Man denkt ja immer, es merkt ja schon keiner - und dumm wie Bohnenstroh habe ich nur das Verzeichnis umbenannt und im robots.txt darauf hingwiesen, dass man das Verzeichnis bitte nicht durchsuche. Gut, dass das gut gegangen ist und damals allein Strato per Update meine Datenbank über den Jordan brachte.