phpMyAdmin Security Issue
phpMyAdmin adalah aplikasi web-based untuk melakukan administrasi database MySQL yang sangat populer. Karena sangat populer, aplikasi ini banyak diincar oleh para hacker.
Bagi anda yang menginstall aplikasi ini harap berhati-hati (baik yang anda install di server, laptop, atau komputer pribadi), jangan sampai bisa diakses oleh orang yang tidak berhak.
Bila anda menginstallnya di komputer anda, coba tengok di error log web server anda.
[Mon] [error] File does not exist: /var/www/phpmanager [Mon] [error] File does not exist: /var/www/php-myadmin [Mon] [error] File does not exist: /var/www/phpmy-admin [Mon] [error] File does not exist: /var/www/webadmin [Tue] [error] File does not exist: /var/www/phpmyadmin [Tue] [error] File does not exist: /var/www/phpMyAdmin [Tue] [error] File does not exist: /var/www/phpMyAdmin-2 [Tue] [error] File does not exist: /var/www/php-my-admin [Tue] [error] File does not exist: /var/www/phpMyAdmin-2.2.3 [Tue] [error] File does not exist: /var/www/phpMyAdmin-2.2.6 [Tue] [error] File does not exist: /var/www/phpMyAdmin-2.5.1 [Tue] [error] File does not exist: /var/www/phpMyAdmin-2.5.4 [Tue] [error] File does not exist: /var/www/phpMyAdmin-2.5.5-rc1 [Tue] [error] File does not exist: /var/www/phpMyAdmin-2.5.5-rc2
Kalau ada log seperti di atas, berarti seseorang telah melakukan scanning terhadap komputer anda.
Selama komputer anda menyala dan terkonneksi internet dengan IP Public (static/dynamic), baik di kantor, wifi, atau memakai internet 3G; komputer anda rentan sekali dengan scanning seperti ini.
Hati-hati bila anda menginstall phpMyAdmin, beberapa versi phpMyAdmin mengandung beberapa bug:
- Sesorang bisa menggunakan fitur import file, untuk mengupload file-file selain sql. Penyerang bisa mengupload file .php yang bisa mengakses file-file anda; atau file .exe yang berisi trojan atau bot.
- setup.php lupa dihapus. Bug pada file setup.php bisa digunakan penyerang untuk mereset password mysql. File setup.php merupakan file instalasi awal dalam phpMyAdmin, selesai instalasi seharusnya file ini segera dihapus.
- Beberapa versi, rentan terhadap XSS injection; penyerang bisa mengeksploitasinya untuk mengakses file-file di server.
- Lebih lengkap bug-bugnya di sini!
Beberapa tip untuk mencegah phpMyAdmin diakses orang tidak berhak:
- Update script phpMyAdmin dengan versi terbaru
- Batasi akses phpMyAdmin dengan menaruhnya dibelakang firewall. Bila tidak ada firewall bisa membatasi akses hanya dari IP tertentu, misalnya dengan membuat .htaccess:
<Directory /var/www/phpmyadmin> order deny,allow deny from all allow from localhost allow from 127.0.0.1 allow from 10.10.10.10 allow from 192.168.0.0/255.255.255.0 </Directory>
- Bila terpaksa membuka akses phpMyAdmin, tambahlah password protect folder, dengan htpasswd dan htaccess misalnya:
AuthUserFile .htpasswd AuthName "Restricted Area" AuthType Basic Require valid-user
Untuk lebih jelasnya bisa melihat tutorial di sini.