Aller au contenu
Règlement du forum ×
IPTV et arnaques ×

La Preuve que les Serveur de OVH ne sont pas aussi Sécurisé

ColdFire

Par ColdFire
dans Sécurité Informatique

 Share

Messages recommandés

ColdFire Newbie

ColdFire

Posté(e)
Posté(e) (modifié)

Bonjours voila y'a quelque temps j'ai entendu par quelque Étudiant dans la fac que si on achète un serveur chez

OVH Un grand Hébergeur Français :lol:meme si y'a une faille de type SQL sur ton site en peut l'exploité vue que

OVH dispose de system de Audit ps: des systèmes de surveillance oui c'est vrai

mais bon je me suis dis je vais testé "balek tezharli" je peut au moins avoir la base de données qui relier avec l'interface du site

Voila après quelque recherche sa ma étonnées de voir le prix des serveurs Dédier et leur niveau de sécurité lol

voila le premier test:

http://www.tornier.com Voila le site en question qui est héberger sur un serveur Dédier chez OVH

Informations:http://whois.domaintools.com/91.121.73.46

âpres exploit :


Host IP:              91.121.181.95
Web Server:        Apache/2.2.16 (Unix) mod_ssl/2.2.16 OpenSSL/0.9.8o
Powered-by:        PHP/4.4.8_pre20070816-pl1-gentoo
DB Server:           MySQL error based
Current User:       root@localhost
Sql Version:         5.0.44-log
Current DB:         tornier_*****
System User:       root@localhost
Host Name:         ns363656.ovh.net
Installation dir:    /
DB User & Pass:     
                       root:*5F1D1812*****************F834E47BC5E:localhost
Data Bases:
       mysql
       test
       tornier_australia
       tornier_denmark
       tornier_denmark_backup
       tornier_espania
       tornier_germany
       tornier_italia
       tornier_japan
       tornier_netherlands
       tornier_switzerland

Voila le 2em Exemple :

le site:http://www.bagster.com

Informations:http://whois.domaintools.com/87.98.139.244

âpres exploit :


Host IP:               87.98.139.244
Web Server:         Apache/2.2.19 (Unix) mod_ssl/2.2.19 OpenSSL/0.9.8o
Powered-by:         PHP/5.2.13-pl1-gentoo
Current User:        bagster@localhost
Sql Version:          5.0.44
Current DB:          bagster2007
System User:        bagster@localhost
Host Name:          ns211902.ovh.net
Installation dir:     /
DB User:              'bagster'@'%'
Data Bases:
bagster
bagster2
bagster2004
bagster2007
bagsterbourse
bagsterlog
bagsterphpdig

+ un Bonus

Code:

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/bin/false
daemon:x:2:2:daemon:/sbin:/bin/false
adm:x:3:4:adm:/var/adm:/bin/false
lp:x:4:7:lp:/var/spool/lpd:/bin/false
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/bin/false
news:x:9:13:news:/usr/lib/news:/bin/false
uucp:x:10:14:uucp:/var/spool/uucppublic:/bin/false
operator:x:11:0:operator:/root:/bin/bash
man:x:13:15:man:/usr/share/man:/bin/false
postmaster:x:14:12:postmaster:/var/spool/mail:/bin/false
postgres:x:70:70::/var/lib/postgresql:/bin/bash
nut:x:84:84:nut:/var/state/nut:/bin/false
postfix:x:207:207:postfix:/var/spool/postfix:/bin/false
smmsp:x:209:209:smmsp:/var/spool/mqueue:/bin/false
portage:x:250:250:portage:/var/tmp/portage:/bin/false
nobody:x:65534:65534:nobody:/:/bin/false
sshd:x:22:22:added by portage for openssh:/var/empty:/bin/false
rpc:x:111:111:added by portage for portmap:/dev/null:/usr/sbin/nologin
------------------------------------------------------------------------------------------------------
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/bin/false
daemon:x:2:2:daemon:/sbin:/bin/false
adm:x:3:4:adm:/var/adm:/bin/false
lp:x:4:7:lp:/var/spool/lpd:/bin/false
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/bin/false
news:x:9:13:news:/usr/lib/news:/bin/false
uucp:x:10:14:uucp:/var/spool/uucppublic:/bin/false
operator:x:11:0:operator:/root:/bin/bash
man:x:13:15:man:/usr/share/man:/bin/false
postmaster:x:14:12:postmaster:/var/spool/mail:/bin/false
postgres:x:70:70::/var/lib/postgresql:/bin/bash
nut:x:84:84:nut:/var/state/nut:/bin/false
postfix:x:207:207:postfix:/var/spool/postfix:/bin/false
smmsp:x:209:209:smmsp:/var/spool/mqueue:/bin/false
portage:x:250:250:portage:/var/tmp/portage:/bin/false
nobody:x:65534:65534:nobody:/:/bin/false
sshd:x:22:22:added by portage for openssh:/var/empty:/bin/false
rpc:x:111:111:added by portage for portmap:/dev/null:/usr/sbin/nologin
ovh:x:500:500::/home/ovh:/bin/false
mysql:x:60:60:added by portage for mysql:/dev/null:/usr/sbin/nologin
named:x:40:40:added by portage for bind:/etc/bind:/usr/sbin/nologin
clamav:x:101:501:added by portage for clamav:/dev/null:/usr/sbin/nologin
alias:x:501:200:added by portage for qmail-ovh:/var/qmail/alias:/bin/bash
qmaild:x:502:200:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmaill:x:503:200:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmailp:x:504:200:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmailq:x:505:502:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmailr:x:506:502:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmails:x:507:502:added by portage for qmail-ovh:/var/qmail:/bin/bash
vpopmail:x:508:503:added by portage for qmail-ovh:/home/vpopmail:/bin/bash
qscand:x:509:504:added by portage for qmail-ovh:/var/spool/qmailscan:/usr/sbin/nologin
cron:x:16:16:added by portage for cronbase:/var/spool/cron:/usr/sbin/nologin
ftp:x:21:21:added by portage for ftpbase:/home/ftp:/usr/sbin/nologin
ldap:x:439:439:added by portage for openldap:/usr/lib64/openldap:/usr/sbin/nologin
tcpdump:x:102:506:added by portage for tcpdump:/dev/null:/usr/sbin/nologin
proftpd:x:103:507:added by portage for proftpd:/dev/null:/sbin/nologin
sfim:x:1000:100::/home/www/sfim:/bin/bash
actimanu3:x:1001:100::/home/www/actimanu3/:/bin/bash
adlc:x:1002:100::/home/www/adlc/:/bin/bash
encyclodocs:x:1003:100::/home/www/encyclodocs/:/bin/bash
altajurisalencon:x:1004:100::/home/www/altajurisalencon/:/bin/bash
altajurisargentan:x:1005:100::/home/www/altajurisargentan/:/bin/bash
altajurisavranches:x:1006:100::/home/www/altajurisavranches/:/bin/bash
altajuriscaen:x:1007:100::/home/www/altajuriscaen/:/bin/bash
altajurischerbourg:x:1008:100::/home/www/altajurischerbourg/:/bin/bash
altajurisdieppe:x:1009:100::/home/www/altajurisdieppe/:/bin/bash
altajurisevreux:x:1010:100::/home/www/altajurisevreux/:/bin/bash
altajurislehavre:x:1011:100::/home/www/altajurislehavre/:/bin/bash
altajurislisieux:x:1012:100::/home/www/altajurislisieux/:/bin/bash
altajurisnormandie:x:1013:100::/home/www/altajurisnormandie/:/bin/bash
altajurisrouen:x:1014:100::/home/www/altajurisrouen/:/bin/bash
aocisigny:x:1015:100::/home/www/aocisigny/:/bin/bash
aselie:x:1016:100::/home/www/aselie/:/bin/bash
aseo:x:1017:100::/home/www/aseo/:/bin/bash
atdynet:x:1018:100::/home/www/atdynet/:/bin/bash
deauville:x:1019:100::/home/www/deauville/:/bin/bash
benoist:x:1020:100::/home/www/benoist/:/bin/bash
blh:x:1021:100::/home/www/blh/:/bin/bash
bullster:x:1022:100::/home/www/bullster/:/bin/bash
cgtcheminots:x:1023:100::/home/www/cgtcheminots/:/bin/bash
ddjsorne:x:1024:100::/home/www/ddjsorne/:/bin/bash
debeauvais:x:1025:100::/home/www/debeauvais/:/bin/bash
drjs:x:1026:100::/home/www/drjs/:/bin/bash
ecreps:x:1027:100::/home/www/ecreps/:/bin/bash
hiszfamily:x:1028:100::/home/www/hiszfamily/:/bin/bash
ilp:x:1029:100::/home/www/ilp/:/bin/bash
parcfelins:x:1030:100::/home/www/parcfelins/:/bin/bash
pdc:x:1031:100::/home/www/pdc/:/bin/bash
qualiconcept:x:1032:100::/home/www/qualiconcept/:/bin/bash
relaisdesc:x:1033:100::/home/www/relaisdesc/:/bin/bash
scenar:x:1034:100::/home/www/scenar/:/bin/bash
segura:x:1035:100::/home/www/segura/:/bin/bash
sergedanais:x:1036:100::/home/www/sergedanais/:/bin/bash
toutcaen:x:1037:100::/home/www/toutcaen/:/bin/bash
neeko:x:1038:100::/home/www/neeko/:/bin/bash
archives:x:1039:100::/home/www/archives/:/bin/bash
tag:x:1040:10::/home/tag/:/bin/bash
telfrance:x:1041:100::/home/www/telfrance/:/bin/bash
atdynettodo:x:1042:100::/home/www/atdynettodo/:/bin/bash
otbocage:x:1043:100::/home/www/otbocage/:/bin/bash
blhexport:x:1044:100::/home/www/blh/export/:/bin/bash
secdem:x:1045:100::/home/www/secdem/:/bin/bash
intercom:x:1046:100::/home/www/intercom/:/bin/bash
kameleon:x:1047:100::/home/www/kameleon/:/bin/bash
snip:x:1048:100::/home/www/snip/:/bin/bash
keragan:x:1049:100::/home/www/keragan/:/bin/bash
berith:x:1050:100::/home/www/berith:/bin/bash
pain2folie:x:1051:21::/home/paindefolie:/bin/bash
dhcp:x:104:508:added by portage for dhcp:/var/lib/dhcp:/sbin/nologin
wwf:x:1052:100::/home/www/wwf/:/bin/bash
bagster2004:x:1053:100::/home/www/bagster2004:/bin/bash
stherese:x:1054:100::/home/www/stherese/:/bin/bash

Donc on peut pas dire que tout les serveurs OVH sont sécurisé que sa xD

avoir juste la db relier avec le site c'est une chose mais avoir le tout juste avec une faille de Type Injection SQL c'est sympa sur tout sur un hoteur comme OVH

Modifié par ColdFire
Lien vers le commentaire
Partager sur d’autres sites
  • Administrateurs
Lyès Proficient

Lyès

Posté(e)
  • Administrateurs
Posté(e)

Bonsoir,

 

De quoi tu parle mon ami ?

 

OVH livre le serveur mais n'assure en aucun cas la sécurité logiciel.. ni sa gestion ;) c'est au client de tout installer et de protéger son serveur avec un firewall et une configuration sécurisé.

 

++

  • Like 4
Lien vers le commentaire
Partager sur d’autres sites
  • 1 month later...
snooppy Newbie

snooppy

Posté(e)
Posté(e)
mais c'est bizarre que OVH ne mé pas de système de sécurité automatiser sur les dédies O_o

Ok donc il vont placer derrière chaque serveur un pare feu Physique ? allez on calcule vite fait , ...Humm

 

70 000 Serveurs ( avec le data du Quebec il passe à 250 000 ) Donc 70 000 x 250 ( le prix d'un petit Cisco 5000) sans comptez l'installation ....

 

Outch sa fait mal , mais c'est rien par rapport au 35 Million euro que Ovh engrange ...Mais attention il faut que utilisateur à chaque fois qu'il veut installez un Mysql ou php ou même un serveur de jeux , il doit ouvrir les port sur le Firewal Cisco ...

 

Donc faire ceci avec les 70 k Serveurs ?

 

je pense pas que Octave est envie de ce faire chier ......Avec Ovh , c'est du pas chère mais débrouiller vous ! les autres on fait pareil pour info

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Share
Aller sur la liste des sujets

  • Messages

    • laliche
      Android TV- TIZEN- WEBOS (Tutoriaux,Astuces,Firmware,Aides)

      Par laliche · Posté(e)

      Netflix « Cet appareil n'est pas pris en charge par l'application » Pour les appareils sous Android  je vous apporte la solution au problème Netflix en affichant le message d'erreur « Cet appareil n'est pas pris en charge par l'application », un problème lors de l'exécution de la version officielle de l'application Netflix téléchargée depuis son site. Il semble que Netflix veuille rendre la vie plus difficile à ses utilisateurs sur les appareils non certifiés et la plupart des TV-Box chinoises, une pratique qu'il pratique depuis sa création et cela ne nous surprend pas, mais il a une solution simple . L’erreur Netflix affichant « Cet appareil n'est pas pris en charge par l'application », est un problème lors de l'exécution de la version officielle de l'application Netflix téléchargée depuis son site. Il semble que Netflix veuille rendre la vie plus difficile à ses utilisateurs sur les appareils non certifiés et la plupart des TV-Box chinoises, une pratique qu'il pratique depuis sa création et cela ne nous surprend pas, mais il a une solution simple . Explication du problème :  Netflix n'offre la compatibilité officielle de son application et l'option de qualité HD que sur les appareils qui passent son approbation, cela implique que seules les grandes marques internationales ont accès à ces options. Netflix rend les choses un peu plus difficiles pour les utilisateurs d'appareils non certifiés en proposant sur son site officiel une application qui génère de nouveaux problèmes de compatibilité. Pour installer Netflix et éviter l'erreur «  Cet appareil n'est pas pris en charge par l'application  », suivez le point suivant du manuel. Solutions : Ceci est un contenu masqué, merci de Se connecter ou S’inscrire    
    • laliche
      Etat des lieux de la Fibre en Algérie depuis 2020

      Par laliche · Posté(e)

      C'est ce que fait aussi Sonelgaz les branchements doivent passer par l'entrée principale de l'abonné pour une question juridique dans notre bureaucratie les factures font foi de justification de domicile. Mais si AT le fait  c'est incompréhensible.
    • genio
      Etat des lieux de la Fibre en Algérie depuis 2020

      Par genio · Posté(e)

      @Gt3Dz bien...même si l'activation est probablement pour 2025....
    • Gt3Dz
      Etat des lieux de la Fibre en Algérie depuis 2020

      Par Gt3Dz · Posté(e)

      Début des travaux rue Abou Nouas à Hydra.  
    • genio
      Etat des lieux de la Fibre en Algérie depuis 2020

      Par genio · Posté(e)

      Svp...expliquez moi un truc que j'essaye de comprendre...DEPUIS 5 ANS !!!! pourquoi AT place la fible par la porte principale de immeuble et des abonnés ?!! Pourquoi ils n'utilisent pas le même endroit que les lignes téléphoniques (qui seront supprimées)??   Pourquoi casser l'immeuble ? Pourquoi défigurer tout et rafistoler avec du plâtre  ?!  Wallah ça me dépasse !!!!!!!
×
×
  • Créer...