apache inpatchable ?

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

apache inpatchable ?

Messagepar kunda » 12 Déc 2005 15:31

Bonjour à tous

je loue un serveur dédié pour qq clients, mais n'étant pas spécialiste réseau, j'aurai besoin de vos lumières pour démêler le vrai du faux quant à la sécurité de ce serveur:

qqun s'est donc introduit sur ce serveur et a défacé qq sites..

J'ai pu lui envoyer un email (il avait signé ses défacages) et au lieu de lui crier dessus, je lui ai demandé si c'était un acte gratuit ou s'il acceptait de partager sa science .. ce qu'il a fait, qu'il en soit remercié.

- Il a récupérer un accès FTP par une injection SQL
- il a installé webadmin.php (http://www.wacker-welt.de/webadmin/)

- il pu remonté dans l'arborescence en changeant le chemin dans webadmin, et ainsi voir le contenu de tous les fichiers installés sur le serveur jusqu'à /

voici une partie de sa prose :


En fait il suffit de possedé un ftp sur le server en question et de remonter la racine on constate que les utilisateurs uid=33(www-data) ont le droit en lecture ( pas en ecriture ) des fichiers donc ils suffit de se rendre sur un compte utilisateur basé dans le repertoire /home/ et de listé le contenue d'un fichier configuration par exemple qui contient les identifiant des bases de donnees Mysql les meme identifiants que pour le ftp (...)

Le premier acces ftp que jai eu venait d'une faille de type injection sql sur un des sites heberger .
Cette faille permettais de recuperé le pass ( crypté ) de l'administrateur et a partir de la il ne restais plus qu'a le decrypté et a l'utilisé le pass etant assé simple cela na pas pris beaucoup de temps .
Pour remonté la racine il te faudras une backdoor php.
au cas ou tu la voudrais prend la source et met la au format php sur ton ftp tu verras ensuite ou seras basé ton site sur la partition du server /home/sites/tonsite
il suffirat de changé par /home/sites dans la racine ensuite tu verras que le fichier s'ouvres a toi tout les comptes utilisateurs il te resteras seulement a rentré dans les compte et a regardé les fichier sensibles (...)


le chemin qui s'est affiché au départ était : /home/sites/site67/web/

il a donc mis /home/sites/ par exemple et a vu tous les autres hébergés... webadmin permet ensuite d'afficher ds le navigateur les script php et les variables etc.... brrrrrrr

==> donc je me demande à mon hébergeur de faire en sorte qu'un utilisateur ne puisse pas "remonter" sur le serveur avec un script comme webadmin et il me dit que c'est impossible : voici sa réponse :

En ayant un login/pass sur le serveur, vous pouvez uploade n'importe quoi
sur le serveur... n'importe quel scripts...
Ensuite vous executez ce script via le serveur web, vous avez les
permissions du serveur web (apache) et donc vous pouvez visualiser
le contenu du serveur.


Au secours !!! j'aurai besoin d'infos de votre part pour me donner des billes et engager une discussion plus constructive avec eux. Car actuellement les relations c'est plutôt du style : "l'injection sql c'est de votre faute" (je l'admet un peu même si j'ai passé l'age de me faie gronder et je prefere la critique constructive ...) et "nous on est des bons on est clean pas vous car vos scripts php sont pas assez secure" ... je veux bien mais cete faclité à remonter sur le serveur en lecture avec les droits d'un simple user c'est normal ????
kunda
Matelot
Matelot
 
Messages: 3
Inscrit le: 12 Déc 2005 14:47

Messagepar tomtom » 12 Déc 2005 18:25

C'est hélas le gros problème de l'hebergement patagé.....
D'autant que l'injection SQL peut avoir lieu chez un autre client sur la mêem machine....

L'utilisateur www-data a bien entendu besoin depouvoir lire les scripts pour les executer par apache, quelqu'un ayant les droits www-data peut faire beaucoup de choses.


t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar kunda » 12 Déc 2005 20:18

tomtom a écrit:
L'utilisateur www-data a bien entendu besoin depouvoir lire les scripts pour les executer par apache, quelqu'un ayant les droits www-data peut faire beaucoup de choses.


t.

En effet la solution réside en grande partie dans la recherche de tout ce qui pourra limiter php à un environnement plus secure : Register_global, mod-secure, etc...

La conséquence immediate pour moi est que de nombreux scripts tournant chez mes clients vont avoir besoin d'être modifiés et/ou patché mais par moi car j'ai quasimment tout installé/développé... le travail est important (je l'estime à environ 1 mois) :? malheureusement je n'ai pas ce mois de disponible.

et une mission type freelance ou cdd rique d'etre chere pour ma petite entreprise (connait un pti peu la crise 8)

Alors voilà je vais proposer cette mission comme l'objet (un des) un stage dans ma société.
Ce peut etre à la fois formateur et relativement interressant pour quelques semaines, qu'en pensez-vous ?

Si cette idée branche quelqu'un, contactez moi par ce post ou par mon mail,
En résumé ce serait donc une petite mission d'un mois, dans le sud de la France (Montpellier), pour Janvier disons. (il fait beau chez nous en Janvier aussi :D )

Alors ou convention de stage ou autre à définir..

@++
kunda
Matelot
Matelot
 
Messages: 3
Inscrit le: 12 Déc 2005 14:47

Messagepar HaM » 13 Déc 2005 00:44

Un moyen efficace pour régler ce problème c'est le Safe Mode.
Avatar de l’utilisateur
HaM
Amiral
Amiral
 
Messages: 1045
Inscrit le: 31 Juil 2002 00:00
Localisation: Boulogne-Billancourt 92

Messagepar Klyum » 14 Déc 2005 01:03

Ca, il l a bien compris

Par contre l'activation du safe mode va rendre inoperationnel certains de ses scripts php et donc il demande quelqu un en stage pour rendre le code safe mode proof :)
Avatar de l’utilisateur
Klyum
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 01 Oct 2003 00:00

Messagepar Fesch » 14 Déc 2005 23:44

On pourra donc dire "apache apachable" non? ... :mrgreen:

OK, désolé ... je sors ----> [ ]
Pourquoi lis-tu ceci???
Avatar de l’utilisateur
Fesch
Amiral
Amiral
 
Messages: 2505
Inscrit le: 11 Sep 2003 00:00
Localisation: Luxembourg

Messagepar kunda » 15 Déc 2005 16:47

Klyum a écrit:Ca, il l a bien compris

Par contre l'activation du safe mode va rendre inoperationnel certains de ses scripts php et donc il demande quelqu un en stage pour rendre le code safe mode proof :)



Voilà exactement... l'art du résumé c'est quelque chose quand même !.. :lol:

Donc je réitère : si un codeur PHP veut faire un stage au soleil en début d'année, c'est open.
Si un Excellent codeur PHP (avec connaissances approfondies de LAMP) veut me proposer une mission type freelance ou autre, j'accepte de l'étudier. Je suppose qu'il faudra que j'estime le volume de lignes de codes à analyser, mais peut-etre ya t-il une meilleure manière de chiffrer l'opération ? Je ne peux pas montrer tous les scripts qu'il faut reprendre pour obtenir un devis ... donc il ya surement un accord a trouver. Pour info (tres sommaire) il y a 4 boutiques oscommerce puis environ une dizaine de sites dynamiques avec du php fait maison et quelques SPIP, 1 wordpress (pour ces 2 là je pense que ca peut aller vite) ... et voila
kunda
Matelot
Matelot
 
Messages: 3
Inscrit le: 12 Déc 2005 14:47


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité