Bonjour,
J'ai plusieurs sites hébergés chez infomaniak.
Ce matin, un ami m'a dit que son frère a réussi à accéder à l'ensemble
des mes fichiers et qu'il peut les écraser.
J'ai contacté cette personne pour avoir des preuves de ce qu'il dit (en
attente de réponse).
Toutefois, dans l'attente, et si on omet le fait que son frère à des
pratiques douteuses, ai-je des raisons valables de m'inquiéter sur la
sécurité des hébergements proposés.
Je pense avoir des infos plus précises sous 48h. Je vous en ferai part,
mais j'ai besoin d'être fixé rapidement si vous avez des idées là dessus.
Merci d'avance,
Julien
Ce matin, un ami m'a dit que son frère a réussi à accéder à l'ensemble des mes fichiers et qu'il peut les écraser.
Tu utilises PhpBB, un forum ou un portail php ? Des scripts maisons ?
il y a sur le site en question un forum phpBB . dans le doute je le désactive de suite!
-jl-
"JT" <jtxATodebiPOINTcom> a écrit dans le message de news: 44181cab$0$19715$
Laurent Sintes wrote:
On 2006-03-15, JT <jtxATodebiPOINTcom> wrote:
Ce matin, un ami m'a dit que son frère a réussi à accéder à l'ensemble des mes fichiers et qu'il peut les écraser.
Tu utilises PhpBB, un forum ou un portail php ? Des scripts maisons ?
il y a sur le site en question un forum phpBB . dans le doute je le désactive de suite!
ba vi mais cela ne suffira peut être pas. faut voir aussi les registrar_global etc... les chmod 777 à tout va sur les répertoires et même les scripts etc...
-jl-
"JT" <jtxATodebiPOINTcom> a écrit dans le message de news:
44181cab$0$19715$8fcfb975@news.wanadoo.fr...
Laurent Sintes wrote:
On 2006-03-15, JT <jtxATodebiPOINTcom> wrote:
Ce matin, un ami m'a dit que son frère a réussi à accéder à l'ensemble
des mes fichiers et qu'il peut les écraser.
Tu utilises PhpBB, un forum ou un portail php ?
Des scripts maisons ?
il y a sur le site en question un forum phpBB .
dans le doute je le désactive de suite!
ba vi mais cela ne suffira peut être pas.
faut voir aussi les registrar_global etc...
les chmod 777 à tout va sur les répertoires et même les scripts etc...
"JT" <jtxATodebiPOINTcom> a écrit dans le message de news: 44181cab$0$19715$
Laurent Sintes wrote:
On 2006-03-15, JT <jtxATodebiPOINTcom> wrote:
Ce matin, un ami m'a dit que son frère a réussi à accéder à l'ensemble des mes fichiers et qu'il peut les écraser.
Tu utilises PhpBB, un forum ou un portail php ? Des scripts maisons ?
il y a sur le site en question un forum phpBB . dans le doute je le désactive de suite!
ba vi mais cela ne suffira peut être pas. faut voir aussi les registrar_global etc... les chmod 777 à tout va sur les répertoires et même les scripts etc...
-jl-
JT
-jl- wrote:
"JT" <jtxATodebiPOINTcom> a écrit dans le message de news: 44181cab$0$19715$
Laurent Sintes wrote:
On 2006-03-15, JT <jtxATodebiPOINTcom> wrote:
Ce matin, un ami m'a dit que son frère a réussi à accéder à l'ensemble des mes fichiers et qu'il peut les écraser.
Tu utilises PhpBB, un forum ou un portail php ? Des scripts maisons ?
il y a sur le site en question un forum phpBB . dans le doute je le désactive de suite!
ba vi mais cela ne suffira peut être pas. faut voir aussi les registrar_global etc... les chmod 777 à tout va sur les répertoires et même les scripts etc...
-jl-
Peux tu développer ? registrar_global ? c'est à off il me semble. chmod 777 uniquement dans un repertoire pour les médias c'est tout tout...
-jl- wrote:
"JT" <jtxATodebiPOINTcom> a écrit dans le message de news:
44181cab$0$19715$8fcfb975@news.wanadoo.fr...
Laurent Sintes wrote:
On 2006-03-15, JT <jtxATodebiPOINTcom> wrote:
Ce matin, un ami m'a dit que son frère a réussi à accéder à l'ensemble
des mes fichiers et qu'il peut les écraser.
Tu utilises PhpBB, un forum ou un portail php ?
Des scripts maisons ?
il y a sur le site en question un forum phpBB .
dans le doute je le désactive de suite!
ba vi mais cela ne suffira peut être pas.
faut voir aussi les registrar_global etc...
les chmod 777 à tout va sur les répertoires et même les scripts etc...
-jl-
Peux tu développer ?
registrar_global ? c'est à off il me semble.
chmod 777 uniquement dans un repertoire pour les médias c'est tout tout...
"JT" <jtxATodebiPOINTcom> a écrit dans le message de news: 44181cab$0$19715$
Laurent Sintes wrote:
On 2006-03-15, JT <jtxATodebiPOINTcom> wrote:
Ce matin, un ami m'a dit que son frère a réussi à accéder à l'ensemble des mes fichiers et qu'il peut les écraser.
Tu utilises PhpBB, un forum ou un portail php ? Des scripts maisons ?
il y a sur le site en question un forum phpBB . dans le doute je le désactive de suite!
ba vi mais cela ne suffira peut être pas. faut voir aussi les registrar_global etc... les chmod 777 à tout va sur les répertoires et même les scripts etc...
-jl-
Peux tu développer ? registrar_global ? c'est à off il me semble. chmod 777 uniquement dans un repertoire pour les médias c'est tout tout...
Patrick Mevzek
registrar_global ? c'est à off il me semble.
Ca ne suffit pas, il faut auditer le code pour chercher les import_request_variables()
Vivement PHP6 qui supprimera définitivement register_globals, ainsi que magic_quotes et safe_mode.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
registrar_global ? c'est à off il me semble.
Ca ne suffit pas, il faut auditer le code pour chercher les
import_request_variables()
Vivement PHP6 qui supprimera définitivement register_globals, ainsi que
magic_quotes et safe_mode.
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Ca ne suffit pas, il faut auditer le code pour chercher les import_request_variables()
Vivement PHP6 qui supprimera définitivement register_globals, ainsi que magic_quotes et safe_mode.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
-jl-
"Patrick Mevzek" a écrit dans le message de news:
registrar_global ? c'est à off il me semble.
Ca ne suffit pas, il faut auditer le code pour chercher les import_request_variables()
Vivement PHP6 qui supprimera définitivement register_globals, ainsi que magic_quotes et safe_mode.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
:)
-jl-
"Patrick Mevzek" <pm-N200603@nospam.dotandco.com> a écrit dans le message de
news: pan.2006.03.15.14.53.35.444193@nospam.dotandco.com...
registrar_global ? c'est à off il me semble.
Ca ne suffit pas, il faut auditer le code pour chercher les
import_request_variables()
Vivement PHP6 qui supprimera définitivement register_globals, ainsi que
magic_quotes et safe_mode.
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Ca ne suffit pas, il faut auditer le code pour chercher les import_request_variables()
Vivement PHP6 qui supprimera définitivement register_globals, ainsi que magic_quotes et safe_mode.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
:)
-jl-
JT
Patrick Mevzek wrote:
registrar_global ? c'est à off il me semble.
Ca ne suffit pas, il faut auditer le code pour chercher les import_request_variables()
Puis je avoir des pistes à ce niveau?
Patrick Mevzek wrote:
registrar_global ? c'est à off il me semble.
Ca ne suffit pas, il faut auditer le code pour chercher les
import_request_variables()
Ca ne suffit pas, il faut auditer le code pour chercher les import_request_variables()
Puis je avoir des pistes à ce niveau?
Patrick Mevzek
Ca ne suffit pas, il faut auditer le code pour chercher les import_request_variables()
Puis je avoir des pistes à ce niveau?
La fonction import_request_variables() fait l'équivalent de l'option de configuration register_globals. Donc même avec cette derniere à off, si le code utilise cette fonction, vous êtes vulnérables à toutes les attaques connues (et qui n'arrêteront jamais, c'est une erreur conceptuelle pas une erreur de mise en oeuvre).
Historiquement, le problème avait été soulevé avec phpNuke IIRC, qui était pile dans ce cas de figure.
Pour plus d'informations : - http://php.net/import_request_variables - fr.comp.lang.php (mais à ne pas lire sans recul)
A noter, qu'au-delà de cette fonction, un code particulièrement retord pourrait utiliser extract() pour arriver à faire tout ou partie de la même chose. Un truc de plus à auditer.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Ca ne suffit pas, il faut auditer le code pour chercher les
import_request_variables()
Puis je avoir des pistes à ce niveau?
La fonction import_request_variables() fait l'équivalent de l'option de
configuration register_globals. Donc même avec cette derniere à off, si
le code utilise cette fonction, vous êtes vulnérables à toutes les
attaques connues (et qui n'arrêteront jamais, c'est une erreur
conceptuelle pas une erreur de mise en oeuvre).
Historiquement, le problème avait été soulevé avec phpNuke IIRC, qui
était pile dans ce cas de figure.
Pour plus d'informations :
- http://php.net/import_request_variables
- fr.comp.lang.php (mais à ne pas lire sans recul)
A noter, qu'au-delà de cette fonction, un code particulièrement retord
pourrait utiliser extract() pour arriver à faire tout ou partie de la
même chose. Un truc de plus à auditer.
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Ca ne suffit pas, il faut auditer le code pour chercher les import_request_variables()
Puis je avoir des pistes à ce niveau?
La fonction import_request_variables() fait l'équivalent de l'option de configuration register_globals. Donc même avec cette derniere à off, si le code utilise cette fonction, vous êtes vulnérables à toutes les attaques connues (et qui n'arrêteront jamais, c'est une erreur conceptuelle pas une erreur de mise en oeuvre).
Historiquement, le problème avait été soulevé avec phpNuke IIRC, qui était pile dans ce cas de figure.
Pour plus d'informations : - http://php.net/import_request_variables - fr.comp.lang.php (mais à ne pas lire sans recul)
A noter, qu'au-delà de cette fonction, un code particulièrement retord pourrait utiliser extract() pour arriver à faire tout ou partie de la même chose. Un truc de plus à auditer.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Yves
chmod 777 uniquement dans un repertoire pour les médias c'est tout tout...
Déjà, pas de 777 sur un répertoire, à la limite un 1777. Mettre le w sur un répertoire, c'est mal (n'importe qui peut tout effacer dans le répertoire, entres autres). Avec un 1777 ça limite un peu plus, mais en général y'a moyen de faire ça mieux avec un groupe approprié.
Yves
chmod 777 uniquement dans un repertoire pour les médias c'est tout tout...
Déjà, pas de 777 sur un répertoire, à la limite un 1777. Mettre le w sur
un répertoire, c'est mal (n'importe qui peut tout effacer dans le
répertoire, entres autres). Avec un 1777 ça limite un peu plus, mais en
général y'a moyen de faire ça mieux avec un groupe approprié.
chmod 777 uniquement dans un repertoire pour les médias c'est tout tout...
Déjà, pas de 777 sur un répertoire, à la limite un 1777. Mettre le w sur un répertoire, c'est mal (n'importe qui peut tout effacer dans le répertoire, entres autres). Avec un 1777 ça limite un peu plus, mais en général y'a moyen de faire ça mieux avec un groupe approprié.
