CCS-Mysql 数据库管理工具是提供了一个 MySQL 数据库的 web 管理界面。它安装时要求一个 .inc 文件能被 webserver 访问。这个文件名为:dbconnect.inc 该文件包含了数据库的用户名和密码。如果攻击者知道该文件的存放路径,就能通过HTTP察看这个文件的内容,获得数据库的用户名和口令。
受影响的系统:
PCCS-Linux MySQDatabase Admin Tool 1.2.3
PCCS-Linux MySQDatabase Admin Tool 1.2.4
http://www.xxx.com/pccsmysqladm/incs/dbconnect.inc
解决方案:
1. 将这个文件放到 webserver 根目录外
2. 将.inc文件也作为 php 文件执行
删除这个软件
