危険なphpMyAdminインストール先ディレクトリ名まとめ

2019年5月14日WordPress (ワードプレス)

危険なphpMyAdminインストール先ディレクトリ名まとめ

無断転載禁止

概要

私が管理しているウェブサーバーのアクセスログ (サーバーが自動的に作成する通信の記録) から判明したログインを試行されやすい危険な「phpMyAdmin」インストール先ディレクトリ名を公開します。


危険なディレクトリ

phpMyAdmin」をインストールする際に、セキュリティーの観点から、避けたほうがよいディレクトリ名は次のとおり。

  1. ルートディレクトリ

    ルートディレクトリ
    /

    ルートディレクトリにインストールするということは、自分が管理するドメイン名が「example.com」だったとするならば、 Web ブラウザーに「https://www.example.com/」と入力してアクセスした際に、「phpMyAdmin」のログインページが表示されるということです。

    しかし、次のように考える人もいるかもしれません。

    「ドメイン名は誰にも教えないし、検索エンジンは robots.txt で弾くし、他のウェブサイトからリンクすることもないし、知っているのが自分だけなら大丈夫じゃないの?」

    ぜんぜん大丈夫じゃないです!

    ウェブサーバーのアクセスログによると、不審なアクセスの多くは、 IP アドレスを指定してアクセスしてくるのです!

    つまり、自分が管理しているウェブサーバーに割り当てられた IP アドレスを、 Web ブラウザーに「http://xxx.xxx.xxx.xxx/」のように入力した際に、「phpMyAdmin」のログインページが表示されるならば、「ブルートフォースアタック」 (パスワード総当たり攻撃) を受けて、他者にログインされてしまう可能性があるということです。

  2. phpMyAdmin など

    危険なディレクトリ名
    /admin/
    /db/
    /dbadmin/
    /myadmin/
    /MyAdmin/
    /myadmin2/
    /mysql/
    /mysqladmin/
    /mysql-admin/
    /mysql_admin/
    /mysqlmanager/
    /phpadmin/
    /phpAdmin/
    /phpma/
    /phpmanager/
    /php-myadmin/
    /phpmy/
    /phpmy-admin/
    /phpmyadm1n/
    /phpMyAdm1n/
    /phpMyadmi/
    /phpmyadmin/
    /phpMyAdmin/
    /phpmyadmin0/
    /phpmyadmin1/
    /phpMyAdmin1/
    /phpmyadmin2/
    /phpMyAdmin123/
    /phpMyAdmina/
    /phpMyAdmin__/
    /phpMyadmin_bak/
    /phpMyAdminold/
    /phpMyAdmin.old/
    /phpmyadmin-old/
    /phpMyAdmion/
    /phppma/
    /plugins/
    /p/m/a/
    /pma/
    /PMA/
    /PMA2/
    /pmamy/
    /pmamy2/
    /pma-old/
    /pmd/
    /program/
    /pwd/
    /scripts/
    /shaAdmin/
    /shopdb/
    /sql/
    /sqlite/
    /SQLite/
    /SQlite/
    /sqlitemanager/
    /SQLiteManager/
    /sqlmanager/
    /sqlweb/
    /tools/
    /webadmin/
    /webdb/
    /websql/
    /www/
    /xampp/
    

    上に掲げたディレクトリ名は、私が管理しているウェブサーバーのアクセスログに記録されていたものですが、私が管理しているウェブサーバーに、これらのディレクトリ名は存在しません。

    つまり、「phpMyAdmin」をインストールする際に、つい作成しがちなディレクトリ名にアクセスすることによって、私が管理しているウェブサーバーに「phpMyAdmin」がインストールしてあるかどうかを何者かが探りを入れてきているわけです。

    そして、ウェブサーバーから「404 Not Found」 (そのディレクトリは存在しない) ではなく、「200 OK」 (リクエスト成功。そのディレクトリは存在した) のステータスが返ってきた場合は、「ブルートフォースアタック」 (パスワード総当たり攻撃) を受けて、他者にログインされてしまい、データベースをコピーされたりするわけです。


情報流出の原因?

ニュースでよくありますよね。

○○○○株式会社は、同社が運営するサーバーが○月○日から○月○日にかけて不正アクセスを受け、最大○○○万○○○○件の顧客情報が流出した可能性があると発表した。

なぜ、このような事件が起こるのかというと、私が思うには、インターネット上に「phpMyAdmin」のインストールの仕方を説明しているウェブサイトが多数存在しているわけですが、そのほとんどが、インストール先のディレクトリ名を「https://www.○○○○.com/phpMyAdmin/」にするよう記載しているからではないかと思うのです。

つい、参考にしたブログどおりにやってしまいますよね。

phpMyAdmin」の後ろにあるバージョン情報などを削除して「phpMyAdmin」にするよりも、セキュリティーの観点から言えば、後ろにランダムな文字を追加するほうがマシではないかと思うのです。


まとめ

本当に「phpMyAdmin」をインストールする必要があるのか良く考えること。

phpMyAdmin」をインストールする場合は、「危険なディレクトリ名」を使用せず、他者に推測されないものにすること。


2019年5月14日WordPress (ワードプレス)

Posted by Atsushi Fukuda (atsushifukuda.jp)