Skip to content

phpMyAdmin Security Issue

December 26, 2011

phpMyAdmin adalah aplikasi web-based untuk melakukan administrasi database MySQL yang sangat populer. Karena sangat populer, aplikasi ini banyak diincar oleh para hacker.

Bagi anda yang menginstall aplikasi ini harap berhati-hati (baik yang anda install di server, laptop, atau komputer pribadi), jangan sampai bisa diakses oleh orang yang tidak berhak.

Bila anda menginstallnya di komputer anda, coba tengok di error log web server anda.

[Mon] [error] File does not exist: /var/www/phpmanager
[Mon] [error] File does not exist: /var/www/php-myadmin
[Mon] [error] File does not exist: /var/www/phpmy-admin
[Mon] [error] File does not exist: /var/www/webadmin
[Tue] [error] File does not exist: /var/www/phpmyadmin
[Tue] [error] File does not exist: /var/www/phpMyAdmin
[Tue] [error] File does not exist: /var/www/phpMyAdmin-2
[Tue] [error] File does not exist: /var/www/php-my-admin
[Tue] [error] File does not exist: /var/www/phpMyAdmin-2.2.3
[Tue] [error] File does not exist: /var/www/phpMyAdmin-2.2.6
[Tue] [error] File does not exist: /var/www/phpMyAdmin-2.5.1
[Tue] [error] File does not exist: /var/www/phpMyAdmin-2.5.4
[Tue] [error] File does not exist: /var/www/phpMyAdmin-2.5.5-rc1
[Tue] [error] File does not exist: /var/www/phpMyAdmin-2.5.5-rc2

Kalau ada log seperti di atas, berarti seseorang telah melakukan scanning terhadap komputer anda.

Selama komputer anda menyala dan terkonneksi internet dengan IP Public (static/dynamic), baik di kantor, wifi, atau memakai internet 3G; komputer anda rentan sekali dengan scanning seperti ini.

Hati-hati bila anda menginstall phpMyAdmin, beberapa versi phpMyAdmin mengandung beberapa bug:

  • Sesorang bisa menggunakan  fitur import file, untuk mengupload file-file selain sql. Penyerang bisa mengupload file .php yang bisa mengakses file-file anda; atau file .exe yang berisi trojan atau bot.
  • setup.php lupa dihapus. Bug pada file setup.php bisa digunakan penyerang untuk mereset password mysql. File setup.php merupakan file instalasi awal dalam phpMyAdmin, selesai instalasi seharusnya file ini segera dihapus.
  • Beberapa versi, rentan terhadap XSS injection; penyerang bisa mengeksploitasinya untuk mengakses file-file di server.
  • Lebih lengkap bug-bugnya di sini!

Beberapa tip untuk mencegah phpMyAdmin diakses orang tidak berhak:

  • Update script phpMyAdmin dengan versi terbaru
  • Batasi akses phpMyAdmin dengan menaruhnya dibelakang firewall. Bila tidak ada firewall bisa membatasi akses hanya dari IP tertentu, misalnya dengan membuat .htaccess:
    <Directory /var/www/phpmyadmin>
    order deny,allow
    deny from all
    allow from localhost
    allow from 127.0.0.1
    allow from 10.10.10.10
    allow from 192.168.0.0/255.255.255.0
    </Directory>

     

  • Bila terpaksa membuka akses phpMyAdmin, tambahlah password protect folder, dengan htpasswd dan htaccess misalnya:
    AuthUserFile .htpasswd
    AuthName "Restricted Area"
    AuthType Basic
    Require valid-user

    Untuk lebih jelasnya bisa melihat tutorial di sini.

     

Leave a Comment

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: