Hola, justo hoy nos ha llegado muchos correos del fail2ban de bloque de ips y al revisar los logs hemos visto que estan intentando acceder al fichero
phpmyadmin/scripts/setup.php este fichero permite modificar determinadas cosas, aunque esta protegido por contraseña igual lo atacan.
Escribo esto para los que quieran o les pueda pasar sepan lo que hemos realizado y otros aporten sus ideas para mejorar la seguridad.
Basicamente este script de setup una vez configurado todo no es necesario, por lo que simplemente hemos cambiado el nombre para que de error aunque fallara el fail2ban y dieran con la clave.
con entrar via ssh y poner
mv /usr/share/phpMyAdmin/scripts/setup.php /usr/share/phpMyAdmin/scripts/setup.php.no
ya con eso cambiaria y quedaría inutilizado.
y en los logs ya figuraria un 404 extra
118.126.105.120 - - [21/Apr/2018:12:59:36 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
118.126.105.120 - - [21/Apr/2018:12:59:52 +0200] "POST /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 304 "http://37.187.89.102/phpMyAdmin/scripts/setup.php" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
espero les sirva de ayuda
