je loue un serveur dédié pour qq clients, mais n'étant pas spécialiste réseau, j'aurai besoin de vos lumières pour démêler le vrai du faux quant à la sécurité de ce serveur:
qqun s'est donc introduit sur ce serveur et a défacé qq sites..
J'ai pu lui envoyer un email (il avait signé ses défacages) et au lieu de lui crier dessus, je lui ai demandé si c'était un acte gratuit ou s'il acceptait de partager sa science .. ce qu'il a fait, qu'il en soit remercié.
- Il a récupérer un accès FTP par une injection SQL
- il a installé webadmin.php (http://www.wacker-welt.de/webadmin/)
- il pu remonté dans l'arborescence en changeant le chemin dans webadmin, et ainsi voir le contenu de tous les fichiers installés sur le serveur jusqu'à /
voici une partie de sa prose :
En fait il suffit de possedé un ftp sur le server en question et de remonter la racine on constate que les utilisateurs uid=33(www-data) ont le droit en lecture ( pas en ecriture ) des fichiers donc ils suffit de se rendre sur un compte utilisateur basé dans le repertoire /home/ et de listé le contenue d'un fichier configuration par exemple qui contient les identifiant des bases de donnees Mysql les meme identifiants que pour le ftp (...)
Le premier acces ftp que jai eu venait d'une faille de type injection sql sur un des sites heberger .
Cette faille permettais de recuperé le pass ( crypté ) de l'administrateur et a partir de la il ne restais plus qu'a le decrypté et a l'utilisé le pass etant assé simple cela na pas pris beaucoup de temps .
Pour remonté la racine il te faudras une backdoor php.
au cas ou tu la voudrais prend la source et met la au format php sur ton ftp tu verras ensuite ou seras basé ton site sur la partition du server /home/sites/tonsite
il suffirat de changé par /home/sites dans la racine ensuite tu verras que le fichier s'ouvres a toi tout les comptes utilisateurs il te resteras seulement a rentré dans les compte et a regardé les fichier sensibles (...)
le chemin qui s'est affiché au départ était : /home/sites/site67/web/
il a donc mis /home/sites/ par exemple et a vu tous les autres hébergés... webadmin permet ensuite d'afficher ds le navigateur les script php et les variables etc.... brrrrrrr
==> donc je me demande à mon hébergeur de faire en sorte qu'un utilisateur ne puisse pas "remonter" sur le serveur avec un script comme webadmin et il me dit que c'est impossible : voici sa réponse :
En ayant un login/pass sur le serveur, vous pouvez uploade n'importe quoi
sur le serveur... n'importe quel scripts...
Ensuite vous executez ce script via le serveur web, vous avez les
permissions du serveur web (apache) et donc vous pouvez visualiser
le contenu du serveur.
Au secours !!! j'aurai besoin d'infos de votre part pour me donner des billes et engager une discussion plus constructive avec eux. Car actuellement les relations c'est plutôt du style : "l'injection sql c'est de votre faute" (je l'admet un peu même si j'ai passé l'age de me faie gronder et je prefere la critique constructive ...) et "nous on est des bons on est clean pas vous car vos scripts php sont pas assez secure" ... je veux bien mais cete faclité à remonter sur le serveur en lecture avec les droits d'un simple user c'est normal ????