[DirectAdmin] Hướng dẫn fix lỗi lộ thông tin user đăng nhập DB của phpMyAdmin trên DA

159

Khi xài hệ thống Direct Admin thì có 1 lỗ hổng nhỏ trong hoạt động ghi log của phpMyAdmin nhằm log lại thông tin user nào đã đăng nhập thành công vào database từ IP nào. Mặc dù file log không tiết lộ thông tin mật khẩu nhưng cũng khá là nhạy cảm khi tiết lộ các thông tin khác như username kết nối DB và IP.

Để kiểm tra xem server DA của bạn có cho phép truy cập log phpMyAdmin hay không thì bạn hãy truy cập đường link sau (thay thế ‘domain.com’ bằng tên miền đang chạy trên hệ thống DA của bạn).

hoặc

 
Nếu mà hệ thống của bạn bị ảnh hưởng từ lỗ hổng nhỏ này thì bạn sẽ thấy danh sách file log như trong hình sau và bạn có thể coi thông tin log trong file đó.

phpmyadmin_index

 
Giải pháp khắc phục

– Bây giờ muốn khắc phục lỗi này cũng khá dễ, chúng ta chỉ cần thay đổi lại cấu hình thêm vào như sau .

 

– Đảm bảo trong file cấu hình ‘/etc/httpd/conf/httpd.conf‘ có cấu hình load file ‘/etc/httpd/conf/extra/httpd-includes.conf‘.

 
– Nếu đúng thì sẽ xuất hiện như dòng trên và không có kí tự ‘#‘ comment dòng cấu hình đấy.

– Sau đấy bạn kiểm tra xem có lỗi cấu hình không rồi khởi động lại dịch vụ Apache . Sau cùng hãy truy cập lại thử đường link phpmyadmin log trên.

 
Chúc các bạn thành công.

Đánh giá sao từ người đọc :
[ Tổng : 0 - Trung bình: 0 ]

LEAVE A REPLY