Datenbanksicherheit...

  • Tach leuts.
    Habe gehört und dann auch gesehn das man mit Google und entsprechenden Begriffen einfach so Zugang zum phpMyAdmin bekommen kann. Bis her hab ich meine Seite nicht finden können, nur weiss ich nicht ob das glück ist oder ich doch etwas richtig mache...
    Also meine Frage wäre ob jmd. weiss warum man da überhaupt zugriff drauf habn kann und wie man dies dann möglichst verhindern kann.

  • PHPMyAdmin fragt nach Benutzernamen und Passwort. Diese Dinge muss man erst einmal bekommen.
    Wenn jemand Benutzername und Passwort hat, ist es auch ziemlich egal, ob er dein PHPMyAdmin findet, weil man auch von andern Rechnern aus auf die DB zugreifen kann, wenn das nicht deaktiviert ist.
    Das muss kein riesiges Geheimnis sein. Bei vielen Seiten findet man auch z.B. http://domain.de/phpMyAdmin. Das ist nicht so schwer. Bei Freehostern ist die Url sowieso festgelegt. Dafür hat man ja ein Passwort.

    Viele liebe Grüße
    The User

    PS:
    Habe die URL schon gefunden. ;)
    Darf ich die hier schreiben und sagen wies geht?

    PPS:
    Das wäre aber durchaus mal eine Idee für phpMyAdmin, nach drei falschen Versuchen eine Zeitverzögerung einzubauen, um Listen-Angriffe abzuwehren.

  • Die phpMyAdmin-Url gefunden? bei mir hab ichs nich geschafft, aber bei nem anneren Mailer gings über ne einfache Whois-Abfrage und dann eines der 2 untersten Domains ... klappte bei mir aba nich^^

    Aber das problem ist nich die zu finden. Ich meinte auch was anderes. Wenn man bei google nach " "phpMyAdmin" [...] " (sicherheitshalber gekürzt...) sucht kommt ne Liste mit phpMyAdmin Seiten, wo ich rein kann, DB's einsehn, Tabellen löschen, editiern, einfügen... also das machen kann was man eig. nur machen können sollte wenn an Benutzername+Passwort kenn.
    Dass man die 2 auch durch ausprobiern finden kann weiss ich auch, aber so gehts halt wirklich viel schneller und man findet auch einige. Zwar kann man so nicht gezielt suchn, aber wenn an sich damit weiter beschäftigt krigt man das auch hin...
    Wieso man da rein kann versteh ich auch nich, da wird doch n Cookie aufm PC vom besitzer gespeichert, so dürfte doch nur der drauf können der diesen Cookie hat... in der URL steht auch nix von Sessionid oder so...

    Hoffe jetz is klarer was gemeint ist. Da sollte es doch eig. reichen auf den "exit"-button (oben links) zu klicken, das man dann nich mehr per google drauf kann.

    Und bei der Sache über google bringt ebn dieses "Sperren nach x Versuchen" auch nix... es gibt ja keine versuche: ich seh den Link, klick drauf, bin drin^^

  • nene, Demo-DB würde eher weniger aus zahlreichen tabellen mit einigem Inhalt, Usernamen, passwörter etc. bestehn^^ Google Link kommt per PN, kannste auch ma schauen.
    Das neuste was ich da seh ist version 2.7.1, ich hab 2.11.9.2, ist es vllt bei mir garnicht mehr möglich das man so rein kommt? dann hätte sich das für mich geklärt^^

  • Sind das phMyAdmin-Installationen, die im Bereich der Homepage eingebaut wurden und nicht entsprechend gesichert wurden?

  • Nicht im Bereich der Homepage.
    Aber wenn du nach dem typischen phpMyAdmin-Inhalt bei Google suchst, findest du Seiten. Er hat mir einen Link geschickt, wo man mit vollen Schreibrechten die Datenbank verändern konnte. Die Passwörter waren zudem ungehasht. War glaube ich auch eine ältere phpMyAdmin-Version. Habe dem Kerl erstmal eine Email geschickt. Der schimpft sich Webdesigner, das waren auch nicht seine eigenen Seiten, sondern die von Kunden.

  • jetz haste gesehn was ich meinte^^
    schreib die leutchens auch gerne an, aber ohne irgendwie sagen zu können was die denn da anders machen sollten/könnten/müssten is auch irgendwie blöd ... dann nehmen se die DB raus und joa... weiter passiert nix, is ja auch nich sinn der sache. Würd ja Link jetz hier rein setzten, aber weiss nich wie viele leute das dann wie nutzen^^