目前,我将最新的 phpMyAdmin 解压并加载到我的 www 文件夹中,然后运行它。最近发生了一次通过 phpMyAdmin 进行的攻击。那么我应该安装什么正确的方法才能避免将来我的服务器遭受此类易受攻击的攻击?我的操作系统是 centos,攻击是由于这个 PhpMyAdmin 漏洞 CVE-2011-2505 (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2505)
答案1
除了 @rackandboneman 提到的观点之外,您不应该将 phpMyAdmin 部署在众所周知或常见的位置(例如http://www.example.com/phpMyAdmin/)但最好在单独的虚拟主机上(例如https://admin.example.com/phpmyadmin/) 其中整个根受 Apache 身份验证保护(作为 phpMyAdmin 完成的 MySQL 身份验证的补充)。
此外,您应该限制应用程序用户的登录只能到所需的数据库/表。
答案2
另请参见:除了 phpmyadmin 提供的任何登录机制外,还应设置 http 身份验证(可能通过 ssl)。因此,未经身份验证的用户无法进行任何操作,除非他能破坏 httpd 本身。