ColdFire Posté(e) le 8 mai 2012 Share Posté(e) le 8 mai 2012 (modifié) Bonjours voila y'a quelque temps j'ai entendu par quelque Étudiant dans la fac que si on achète un serveur chez OVH Un grand Hébergeur Français :lol:meme si y'a une faille de type SQL sur ton site en peut l'exploité vue que OVH dispose de system de Audit ps: des systèmes de surveillance oui c'est vrai mais bon je me suis dis je vais testé "balek tezharli" je peut au moins avoir la base de données qui relier avec l'interface du site Voila après quelque recherche sa ma étonnées de voir le prix des serveurs Dédier et leur niveau de sécurité lol voila le premier test: http://www.tornier.com Voila le site en question qui est héberger sur un serveur Dédier chez OVH Informations:http://whois.domaintools.com/91.121.73.46 âpres exploit : Host IP: 91.121.181.95 Web Server: Apache/2.2.16 (Unix) mod_ssl/2.2.16 OpenSSL/0.9.8o Powered-by: PHP/4.4.8_pre20070816-pl1-gentoo DB Server: MySQL error based Current User: root@localhost Sql Version: 5.0.44-log Current DB: tornier_***** System User: root@localhost Host Name: ns363656.ovh.net Installation dir: / DB User & Pass: root:*5F1D1812*****************F834E47BC5E:localhost Data Bases: mysql test tornier_australia tornier_denmark tornier_denmark_backup tornier_espania tornier_germany tornier_italia tornier_japan tornier_netherlands tornier_switzerland Voila le 2em Exemple : le site:http://www.bagster.com Informations:http://whois.domaintools.com/87.98.139.244 âpres exploit : Host IP: 87.98.139.244 Web Server: Apache/2.2.19 (Unix) mod_ssl/2.2.19 OpenSSL/0.9.8o Powered-by: PHP/5.2.13-pl1-gentoo Current User: bagster@localhost Sql Version: 5.0.44 Current DB: bagster2007 System User: bagster@localhost Host Name: ns211902.ovh.net Installation dir: / DB User: 'bagster'@'%' Data Bases: bagster bagster2 bagster2004 bagster2007 bagsterbourse bagsterlog bagsterphpdig + un Bonus Code: root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/bin/false daemon:x:2:2:daemon:/sbin:/bin/false adm:x:3:4:adm:/var/adm:/bin/false lp:x:4:7:lp:/var/spool/lpd:/bin/false sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/bin/false news:x:9:13:news:/usr/lib/news:/bin/false uucp:x:10:14:uucp:/var/spool/uucppublic:/bin/false operator:x:11:0:operator:/root:/bin/bash man:x:13:15:man:/usr/share/man:/bin/false postmaster:x:14:12:postmaster:/var/spool/mail:/bin/false postgres:x:70:70::/var/lib/postgresql:/bin/bash nut:x:84:84:nut:/var/state/nut:/bin/false postfix:x:207:207:postfix:/var/spool/postfix:/bin/false smmsp:x:209:209:smmsp:/var/spool/mqueue:/bin/false portage:x:250:250:portage:/var/tmp/portage:/bin/false nobody:x:65534:65534:nobody:/:/bin/false sshd:x:22:22:added by portage for openssh:/var/empty:/bin/false rpc:x:111:111:added by portage for portmap:/dev/null:/usr/sbin/nologin ------------------------------------------------------------------------------------------------------ root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/bin/false daemon:x:2:2:daemon:/sbin:/bin/false adm:x:3:4:adm:/var/adm:/bin/false lp:x:4:7:lp:/var/spool/lpd:/bin/false sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/bin/false news:x:9:13:news:/usr/lib/news:/bin/false uucp:x:10:14:uucp:/var/spool/uucppublic:/bin/false operator:x:11:0:operator:/root:/bin/bash man:x:13:15:man:/usr/share/man:/bin/false postmaster:x:14:12:postmaster:/var/spool/mail:/bin/false postgres:x:70:70::/var/lib/postgresql:/bin/bash nut:x:84:84:nut:/var/state/nut:/bin/false postfix:x:207:207:postfix:/var/spool/postfix:/bin/false smmsp:x:209:209:smmsp:/var/spool/mqueue:/bin/false portage:x:250:250:portage:/var/tmp/portage:/bin/false nobody:x:65534:65534:nobody:/:/bin/false sshd:x:22:22:added by portage for openssh:/var/empty:/bin/false rpc:x:111:111:added by portage for portmap:/dev/null:/usr/sbin/nologin ovh:x:500:500::/home/ovh:/bin/false mysql:x:60:60:added by portage for mysql:/dev/null:/usr/sbin/nologin named:x:40:40:added by portage for bind:/etc/bind:/usr/sbin/nologin clamav:x:101:501:added by portage for clamav:/dev/null:/usr/sbin/nologin alias:x:501:200:added by portage for qmail-ovh:/var/qmail/alias:/bin/bash qmaild:x:502:200:added by portage for qmail-ovh:/var/qmail:/bin/bash qmaill:x:503:200:added by portage for qmail-ovh:/var/qmail:/bin/bash qmailp:x:504:200:added by portage for qmail-ovh:/var/qmail:/bin/bash qmailq:x:505:502:added by portage for qmail-ovh:/var/qmail:/bin/bash qmailr:x:506:502:added by portage for qmail-ovh:/var/qmail:/bin/bash qmails:x:507:502:added by portage for qmail-ovh:/var/qmail:/bin/bash vpopmail:x:508:503:added by portage for qmail-ovh:/home/vpopmail:/bin/bash qscand:x:509:504:added by portage for qmail-ovh:/var/spool/qmailscan:/usr/sbin/nologin cron:x:16:16:added by portage for cronbase:/var/spool/cron:/usr/sbin/nologin ftp:x:21:21:added by portage for ftpbase:/home/ftp:/usr/sbin/nologin ldap:x:439:439:added by portage for openldap:/usr/lib64/openldap:/usr/sbin/nologin tcpdump:x:102:506:added by portage for tcpdump:/dev/null:/usr/sbin/nologin proftpd:x:103:507:added by portage for proftpd:/dev/null:/sbin/nologin sfim:x:1000:100::/home/www/sfim:/bin/bash actimanu3:x:1001:100::/home/www/actimanu3/:/bin/bash adlc:x:1002:100::/home/www/adlc/:/bin/bash encyclodocs:x:1003:100::/home/www/encyclodocs/:/bin/bash altajurisalencon:x:1004:100::/home/www/altajurisalencon/:/bin/bash altajurisargentan:x:1005:100::/home/www/altajurisargentan/:/bin/bash altajurisavranches:x:1006:100::/home/www/altajurisavranches/:/bin/bash altajuriscaen:x:1007:100::/home/www/altajuriscaen/:/bin/bash altajurischerbourg:x:1008:100::/home/www/altajurischerbourg/:/bin/bash altajurisdieppe:x:1009:100::/home/www/altajurisdieppe/:/bin/bash altajurisevreux:x:1010:100::/home/www/altajurisevreux/:/bin/bash altajurislehavre:x:1011:100::/home/www/altajurislehavre/:/bin/bash altajurislisieux:x:1012:100::/home/www/altajurislisieux/:/bin/bash altajurisnormandie:x:1013:100::/home/www/altajurisnormandie/:/bin/bash altajurisrouen:x:1014:100::/home/www/altajurisrouen/:/bin/bash aocisigny:x:1015:100::/home/www/aocisigny/:/bin/bash aselie:x:1016:100::/home/www/aselie/:/bin/bash aseo:x:1017:100::/home/www/aseo/:/bin/bash atdynet:x:1018:100::/home/www/atdynet/:/bin/bash deauville:x:1019:100::/home/www/deauville/:/bin/bash benoist:x:1020:100::/home/www/benoist/:/bin/bash blh:x:1021:100::/home/www/blh/:/bin/bash bullster:x:1022:100::/home/www/bullster/:/bin/bash cgtcheminots:x:1023:100::/home/www/cgtcheminots/:/bin/bash ddjsorne:x:1024:100::/home/www/ddjsorne/:/bin/bash debeauvais:x:1025:100::/home/www/debeauvais/:/bin/bash drjs:x:1026:100::/home/www/drjs/:/bin/bash ecreps:x:1027:100::/home/www/ecreps/:/bin/bash hiszfamily:x:1028:100::/home/www/hiszfamily/:/bin/bash ilp:x:1029:100::/home/www/ilp/:/bin/bash parcfelins:x:1030:100::/home/www/parcfelins/:/bin/bash pdc:x:1031:100::/home/www/pdc/:/bin/bash qualiconcept:x:1032:100::/home/www/qualiconcept/:/bin/bash relaisdesc:x:1033:100::/home/www/relaisdesc/:/bin/bash scenar:x:1034:100::/home/www/scenar/:/bin/bash segura:x:1035:100::/home/www/segura/:/bin/bash sergedanais:x:1036:100::/home/www/sergedanais/:/bin/bash toutcaen:x:1037:100::/home/www/toutcaen/:/bin/bash neeko:x:1038:100::/home/www/neeko/:/bin/bash archives:x:1039:100::/home/www/archives/:/bin/bash tag:x:1040:10::/home/tag/:/bin/bash telfrance:x:1041:100::/home/www/telfrance/:/bin/bash atdynettodo:x:1042:100::/home/www/atdynettodo/:/bin/bash otbocage:x:1043:100::/home/www/otbocage/:/bin/bash blhexport:x:1044:100::/home/www/blh/export/:/bin/bash secdem:x:1045:100::/home/www/secdem/:/bin/bash intercom:x:1046:100::/home/www/intercom/:/bin/bash kameleon:x:1047:100::/home/www/kameleon/:/bin/bash snip:x:1048:100::/home/www/snip/:/bin/bash keragan:x:1049:100::/home/www/keragan/:/bin/bash berith:x:1050:100::/home/www/berith:/bin/bash pain2folie:x:1051:21::/home/paindefolie:/bin/bash dhcp:x:104:508:added by portage for dhcp:/var/lib/dhcp:/sbin/nologin wwf:x:1052:100::/home/www/wwf/:/bin/bash bagster2004:x:1053:100::/home/www/bagster2004:/bin/bash stherese:x:1054:100::/home/www/stherese/:/bin/bash Donc on peut pas dire que tout les serveurs OVH sont sécurisé que sa xD avoir juste la db relier avec le site c'est une chose mais avoir le tout juste avec une faille de Type Injection SQL c'est sympa sur tout sur un hoteur comme OVH Modifié le 8 mai 2012 par ColdFire Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
ColdFire Posté(e) le 8 mai 2012 Auteur Share Posté(e) le 8 mai 2012 (modifié) Enfin un poste normale @USER:x:1046:100::/home/www/@USER/:/bin/bash Modifié le 8 mai 2012 par ColdFire Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
alirobben Posté(e) le 8 mai 2012 Share Posté(e) le 8 mai 2012 Système d'audit automatique chez OVH ? Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
ColdFire Posté(e) le 8 mai 2012 Auteur Share Posté(e) le 8 mai 2012 ouiii Automatique Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Administrateurs Lyès Posté(e) le 9 mai 2012 Administrateurs Share Posté(e) le 9 mai 2012 Bonsoir, De quoi tu parle mon ami ? OVH livre le serveur mais n'assure en aucun cas la sécurité logiciel.. ni sa gestion c'est au client de tout installer et de protéger son serveur avec un firewall et une configuration sécurisé. ++ 4 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
ColdFire Posté(e) le 9 mai 2012 Auteur Share Posté(e) le 9 mai 2012 Mais sur du sharedhosting "hébergement mutualisé" impossible de faire tout sa donc la partie Shared et moin chère mais plus sécurisé ! Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Administrateurs Lyès Posté(e) le 11 mai 2012 Administrateurs Share Posté(e) le 11 mai 2012 Mais sur du sharedhosting "hébergement mutualisé" impossible de faire tout sa donc la partie Shared et moin chère mais plus sécurisé ! lool.. logique, vu que LA c'est OVH qui sécurise ^^ 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
ColdFire Posté(e) le 24 juin 2012 Auteur Share Posté(e) le 24 juin 2012 mais c'est bizarre que OVH ne mé pas de système de sécurité automatiser sur les dédies O_o Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooppy Posté(e) le 24 juin 2012 Share Posté(e) le 24 juin 2012 mais c'est bizarre que OVH ne mé pas de système de sécurité automatiser sur les dédies O_o Ok donc il vont placer derrière chaque serveur un pare feu Physique ? allez on calcule vite fait , ...Humm 70 000 Serveurs ( avec le data du Quebec il passe à 250 000 ) Donc 70 000 x 250 ( le prix d'un petit Cisco 5000) sans comptez l'installation .... Outch sa fait mal , mais c'est rien par rapport au 35 Million euro que Ovh engrange ...Mais attention il faut que utilisateur à chaque fois qu'il veut installez un Mysql ou php ou même un serveur de jeux , il doit ouvrir les port sur le Firewal Cisco ... Donc faire ceci avec les 70 k Serveurs ? je pense pas que Octave est envie de ce faire chier ......Avec Ovh , c'est du pas chère mais débrouiller vous ! les autres on fait pareil pour info Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.