(Nicht nur) Magento liefert mit "adminer.x.x.x.php" Super-Werkzeug für den Einbruch in Webserver
bearbeitet von ursus contionabundo[Heise berichtet über Angriffe auf Magento-Online-Shops](https://www.heise.de/security/meldung/Magento-Webserver-ueber-Schwachstelle-im-MySQL-Protokoll-gehackt-4284536.html). Hilfreich für den Angriff ist die von Magento undurchdacht hinzugefügte die [adminer-x.y.z.php](https://gwillem.gitlab.io/2019/01/17/adminer-4.6.2-file-disclosure-vulnerability/)
Demnach könnte längst nicht nur Magento betroffen sein, ist aber als Shop ein attraktives Angriffsziel.
Erste Hilfe: [Fremden Zugriff auf die Datei unterbinden (Beispiel für Apache)](https://httpd.apache.org/docs/2.4/howto/auth.html):
~~~apache
<filesmatch "^adminer.*$">
AuthType Basic
AuthName "Restricted Files"
AuthBasicProvider file
AuthUserFile "/path/to/passwordfile"
Require user USERNAME
</filesmatch>
~~~~
Will noch jemand wissen, warum ich ungern fertiges Zeug von Dritten benutze?
(Nicht nur) Magento liefert mit "adminer.x.x.x.php" Super-Werkzeug für den Einbruch in Webserver
bearbeitet von ursus contionabundo[Heise berichtet über Angriffe auf Magento-Online-Shops](https://www.heise.de/security/meldung/Magento-Webserver-ueber-Schwachstelle-im-MySQL-Protokoll-gehackt-4284536.html). Hilfreich für den Angriff ist die von Magento undurchdacht hinzugefügte die [adminer-x.y.z.php](https://gwillem.gitlab.io/2019/01/17/adminer-4.6.2-file-disclosure-vulnerability/)
Demnach könnte längst nicht nur Magento betroffen sein, ist aber als Shop ein attraktives Angriffsziel.
Erste Hilfe: [Fremden Zugriff auf die Datei unterbinden (Beispiel für Apache)](https://httpd.apache.org/docs/2.4/howto/auth.html):
~~~apache
<filesmatch "^adminer.*$">
AuthType Basic
AuthName "Restricted Files"
AuthBasicProvider file
AuthUserFile "/usr/local/apache/passwd/passwords"
Require user USERNAME
</filesmatch>
~~~~
Will noch jemand wissen, warum ich ungern fertiges Zeug von Dritten benutze?
(Nicht nur) Magento liefert mit "adminer.x.x.x.php" Super-Werkzeug für den Einbruch in Webserver
bearbeitet von ursus contionabundo[Heise berichtet über Angriffe auf Magento-Online-Shops](https://www.heise.de/security/meldung/Magento-Webserver-ueber-Schwachstelle-im-MySQL-Protokoll-gehackt-4284536.html). Hilfreich für den Angriff ist die von Magento undurchdacht hinzugefügte die [adminer-x.y.z.php](https://gwillem.gitlab.io/2019/01/17/adminer-4.6.2-file-disclosure-vulnerability/)
Demnach könnte längst nicht nur Magento betroffen sein, ist aber als Shop ein attraktives Angriffsziel.
Erste Hilfe: Zugriff auf die Datei unterbinden (Beispiel für Apache):
~~~apache
<filesmatch "^adminer.*$">
AuthType Basic
AuthName "Restricted Files"
AuthBasicProvider file
AuthUserFile "/usr/local/apache/passwd/passwords"
Require user USERNAME
</filesmatch>
~~~~
Will noch jemand wissen, warum ich ungern fertiges Zeug von Dritten benutze?