Letzte Woche hatte ich es mit einem interessanten Hack zu tun. Auf einem V-Server war über eine Schwachstelle in phpMyAdmin eine Code Injection durchgeführt. Über die Sicherheitslücke wurde per wget ein tar.gz von einem entfernten Server heruntergeladen, im tmp-Verzeichnis entpackt und das Script dann als www-data (User unter dem der Webserver läuft) ausgeführt.
Das Problem tritt nur in den phpMyAdmin Versionen 2.11.9.5 bis 3.1.3.1 auf. Ursache für die Schwachstelle ist die Datei „config.inc.php“ im Verzeichnis „/config/“. In diese Datei kann fremder Code injiziert werden. Die Datei wird beim installieren von phpMyAdmin durch das Script „/ scripts / setup.php“ angelegt. Wenn man das „/config“-Verzeichnis löscht, besteht diese Schwachstelle nicht mehr. Mehr Informationen und ein kleines Script zum testen von phpMyAdmin auf diese Schwachstelle gibt es hier.