Автор: Рубрики: Хостинг Просмотрено: 134
Как защитить phpMyAdmin от потери данных?
07Июн2019

Потерять информацию баз данных можно через действия мошенников, которые взламывают  phpMyAdmin, удаляют всю важную информацию, а далее просят выкуп для ее восстановления. В данной статье подробно рассмотрим как можно защититься от подобных взломов.

Веб-приложение phpMyAdmin очень популярно среди пользователей, именно поэтому оно является целью для злоумышленников со всего мира. Хакеры используют метод массовых атак для поиска уязвимостей в защите приложения. Пострадать от таких действий может каждый пользователь phpMyAdmin.

Например, пользователи часто встречаются с атакой PLEASE_READ.WARNING. Это происходит следующим образом. Бот подбирает ссылку к phpMyAdmin, далее к логину root автоматически подбирается пароль, а после попадания в базу вся информация удаляется, а пользователю оставляют письмо с предложением заплатить мошенникам для восстановления баз данных.

phpMyAdmin

Как защитить себя от подобной ситуации?

  1. Запрет доступа от root пользователя. Именно root пользователь обладает максимальными правами доступа, поэтому подбор пароля происходит именно к нему. Что необходимо сделать для запрета доступа?
  • Откройте на сервере файл /etc/phpMyAdmin/config.inc.php;
  • Найдите строчку: $cfg['Servers'][$i]['AllowRoot'] =TRUE;
  • Замените ее на: $cfg['Servers'][$i]['AllowRoot'] = FALSE
  1. Создайте максимально надежный пароль, он должен состоять из цифр, букв и допустимых символов, не менее 8 знаков. Чем сложнее пароль, тем сложнее его будет подобрать мошенникам. Как создать надежный пароль, детальнее в предыдущей статье.
  2. Измените адрес к phpMyAdmin. По умолчанию приложение имеет стандартную ссылку вашдомен/phpmyadmin, данную ссылку не составит трудности найти, поэтому советуем ее изменить в целях безопасности ваших данных.
  3. Обновляйте программное обеспечение вовремя. Это обезопасит вас от уязвимостей в ПО, ведь разработчики приложений постоянно выпускают обновленные версии с исправленными ошибками.
  4. Делайте регулярные копии важной информации. Это конечно не защитит вас от мошенников, но в таком случае вам точно не нужно будет платить выкуп. Вы сможете просто восстановить свои данные из бэкапа и продолжить работу.

Правила защиты phpMyAdmin очень простые и если их соблюдать, то никакие злоумышленники не смогут повредить важную для вас информацию. Приятной работы!

135 раз(а) 2 Сегодня просмотрено раз(а)
  • root_x Povierennyy

    1 я никогда не использоввал и не использую phpMyAdmin.
    2 из 1 пункта следуе 2. мне не стоит беспокоиться об обновлениях.
    3 у меня есть нескольько пользователей бд. даже если теортически кто-то как-то узнает пароль к бд, то никакого удаления таблиц и всей бд не будет.

    Я себя не перехвалил? ;%:))

    • Марина Семёнова

      Нет программы – нет проблем. А почему не используешь, вроде неплохая панель?

      • phpMyAdmin? Мне оно очень не удобно.Когда-то я только локально пользовался этим пхпОдмином.

        Ну а на сервер ставить его – (лично я) не рекомендую.

        В логах полно следов от сканеров направленных на лом этого пхпОдмина. А если слабый пароль или уязвимая версия Одмина, то…

        • Марина Семёнова

          Такая активность хацкеров может быть из-за того, что она очень популярна. А как известно, чем пользуется большинство, то чаще всего и ломают. 🙂

      • вот именно поэтому в серверных версиях линукса нет графического окружения!

        Об этом спрашивал кто-то: то ли Владимир, то ли Семён. Чем меньше программ, тем меньше вероятность угрозы. Это всем давно известно.

        А удобство администрирования… Это отдельная тема: Возьмем конкретно меня и рассуждения ниже (или выше) “почему я не использую пхпМайОдмин”.

  • root_x Povierennyy

    Я только что чуть не обо*лся. В программе в которой я работаю с бд, я случайно нажал на кнопку delete и на enter.

    эти две кнокпи расположены рядом наа клавиатуре. Нажимал не ввод, но случайнот зацепил дел.

    НО удалился только настроенный конкретно в этой программе конект к бд.

    И ранее со мной такое было – но тогда я реально удалял таблицы из бд.

    Резервных актуальных копий полно, но именно сейчас я уже втоорой день

    исправляю РУКАМИ некоторые посты в бд. И эти изменения не были

    забекаплены. Думал придется всё заново делать.

    Это кофе на меня так действует :((( блин. Ото обіп’юсь кави – потім трясучка нападає на мене.

    Вот вам и потеря данных, вот вам и злойУмышленник %:))

    • Марина Семёнова

      У меня на нетбуке кнопка включения/выключения находится на месте кнопки бакспейс. Угадай куда я нажимаю очень часто?! Недавно я его чуть в стену не кинула. 🙂

      • ну я свои стены в доме с компутерной технику не знакомлю. А вот со своей головой я все стены в доме уже давным-давно познакомил %:)

        как это?: ну бывают такие ситуации что я не знаю КАК что -то сделать ИЛИ делаю-делаю, но у меня не получается – на помощь приходят стены. Точнее связка “голова-стена”. Пару стуков головой о стену, отдых, и аж потом снисходят правильные мысли, алгоритмы, всё получается.

        Я вполне серьезно! Но никому не рекомендую использовать этот метод. Стены могут не выдержать. Я уже в одной стене дома дырку пробил 🙁

        ааа, вот после того как я удалил коннект в этой программе я не стал бросаться клавиатурами. При чём тут они (она)? И это… В нашем районе, в магазина, БЕЛЫХ клавиатур вообще нет. А я люблю только белые. Заказываю в инетмагазине.

        • Марина Семёнова

          Голову не жалко? Компьютерное барахло ведь поменять можно, а голову нет.)))
          Мне без разницы, белые или чёрные, а вот что я действительно хочу дак клаву с подсветкой! Ну очень, а они дорогие. 🙁

          • хотел такую купить. но купил белую. и та что с подсветкой не дорогая (у нас). щас гляну… Или вам нужно конкретно на мекинтошь?

            вот нашел https://hard.rozetka.com.ua/keyboards/c80171/sort=cheap;21543=5899;21546=5916;23141=yes/

            за 300-500 грн можно выбрать, ну или за много тысяч. Можно в вашем регионе поискать такие модели. (хотя я не уверен, что ссылка будет корректной после отправки сообщения.)

            По другому сложные “проблемы” не решаются. Без стен, толку от такой головы аж никакого.

  • Марина Семёнова

    Если лишить админа прав рута, то как делать изменения? А другие пользователи рут прав по умолчанию не имеют. Или имеют?

    • Не хочу выдавать неточную или вообще не верную информацию.

      Но в бд можно (и нужно) создавать отдельных пользователей и наделять их конкретными правами.

      Пользователи – это НЕ учетные записи пользователей вашего сайте, это учетные записи базы данных. Например один пользователь имеет доступ к таблицам только на СЕЛЕКТ, другой только на одовление, третий только на удаление… И во время написания кода (та знаю я что это уже специфика) делать коннект с пользователем бд с нужными правми.

      НО чтобы вас еще больше не запутывать: Я рекомендую создать пользователя бд и УБРАТЬСНЯТЬ с него права на удаление базы данных и права на удаление из некоторых (важных) таблиц.

      И уже этим пользователем поlсоединяться к бд

      КАК ЭТО: Ну в цемеесах, где-то в натсройках подключения к бд, должны быть поля для ввода имени базы данных, пользователя и пароля. Ото там у нужно ввести этого ограниченного пользоваеля.

      А сами пользователи бд создаюься в панели управл хостингом или прям из консоли mysql.

      ДА вот ЕЩЕ очень ВАЖНОЕ: в myisam-хранилищах не очень хорошо с правами на таблицы. В InnoDB с этим получше.


      И не далейте то чего не понимаете, а то вдруг щас захочеоте шото наограничивать…

      может чё-то напутал… будьте осторожны и консультируйтесь со специалистами.

      Линукс мне не нравится тем что один раз его настроишь и он работает вечно. И если друг приходиться что-то делать заново, то сразу и не вспомнишь что и как.

    • по поводу рута… (уже написал ниже), но хочу кое-что добавить.

      Скажу вашими словами: НЕТ ПРОГРАММЫ – НЕТ ПРОБЛЕМ.

    • как делать изменения? А другие пользователи рут прав по умолчанию не имеют. Или имеют?

      Какие права вы зададите, то они и мсогут сделать

      • Марина Семёнова

        Я никому не даю прав на изменения контента, только одному модератору + сама имею тайный модераторский акк на случай буйных посетителей. Такие склочные люди иногда попадаются, что ужас просто.

        • эээ-м-м, не уверен что мы об одном и том же.

          Это вы, наверное, об аккаунтах в вашей CMS? Ну там есть шототипа “Админитсратор”, “Модератор,”, “Супермодератор”… ?

          Я выше (или ниже) написал об аккаунтах (о пользователях) БАЗЫ ДАННЫХ.

          Я же не знаю где и как вы создавали Модератора и Администратора. Вот потому и не уверен что мы тут рассуждаем об одном и том же.

          • Марина Семёнова

            Может я чего и путаю. Я мало в этом понимаю, хоть и старалась раньше вникать. Книжки читала, инструкции всякие. Но не моё, точно не моё.