Jump to content

La Preuve que les Serveur de OVH ne sont pas aussi Sécurisé


Recommended Posts

Bonjours voila y'a quelque temps j'ai entendu par quelque Étudiant dans la fac que si on achète un serveur chez

OVH Un grand Hébergeur Français :lol:meme si y'a une faille de type SQL sur ton site en peut l'exploité vue que

OVH dispose de system de Audit ps: des systèmes de surveillance oui c'est vrai

mais bon je me suis dis je vais testé "balek tezharli" je peut au moins avoir la base de données qui relier avec l'interface du site

Voila après quelque recherche sa ma étonnées de voir le prix des serveurs Dédier et leur niveau de sécurité lol

voila le premier test:

http://www.tornier.com Voila le site en question qui est héberger sur un serveur Dédier chez OVH

Informations:http://whois.domaintools.com/91.121.73.46

âpres exploit :


Host IP:              91.121.181.95
Web Server:        Apache/2.2.16 (Unix) mod_ssl/2.2.16 OpenSSL/0.9.8o
Powered-by:        PHP/4.4.8_pre20070816-pl1-gentoo
DB Server:           MySQL error based
Current User:       root@localhost
Sql Version:         5.0.44-log
Current DB:         tornier_*****
System User:       root@localhost
Host Name:         ns363656.ovh.net
Installation dir:    /
DB User & Pass:     
                       root:*5F1D1812*****************F834E47BC5E:localhost
Data Bases:
       mysql
       test
       tornier_australia
       tornier_denmark
       tornier_denmark_backup
       tornier_espania
       tornier_germany
       tornier_italia
       tornier_japan
       tornier_netherlands
       tornier_switzerland

Voila le 2em Exemple :

le site:http://www.bagster.com

Informations:http://whois.domaintools.com/87.98.139.244

âpres exploit :


Host IP:               87.98.139.244
Web Server:         Apache/2.2.19 (Unix) mod_ssl/2.2.19 OpenSSL/0.9.8o
Powered-by:         PHP/5.2.13-pl1-gentoo
Current User:        bagster@localhost
Sql Version:          5.0.44
Current DB:          bagster2007
System User:        bagster@localhost
Host Name:          ns211902.ovh.net
Installation dir:     /
DB User:              'bagster'@'%'
Data Bases:
bagster
bagster2
bagster2004
bagster2007
bagsterbourse
bagsterlog
bagsterphpdig

+ un Bonus

Code:

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/bin/false
daemon:x:2:2:daemon:/sbin:/bin/false
adm:x:3:4:adm:/var/adm:/bin/false
lp:x:4:7:lp:/var/spool/lpd:/bin/false
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/bin/false
news:x:9:13:news:/usr/lib/news:/bin/false
uucp:x:10:14:uucp:/var/spool/uucppublic:/bin/false
operator:x:11:0:operator:/root:/bin/bash
man:x:13:15:man:/usr/share/man:/bin/false
postmaster:x:14:12:postmaster:/var/spool/mail:/bin/false
postgres:x:70:70::/var/lib/postgresql:/bin/bash
nut:x:84:84:nut:/var/state/nut:/bin/false
postfix:x:207:207:postfix:/var/spool/postfix:/bin/false
smmsp:x:209:209:smmsp:/var/spool/mqueue:/bin/false
portage:x:250:250:portage:/var/tmp/portage:/bin/false
nobody:x:65534:65534:nobody:/:/bin/false
sshd:x:22:22:added by portage for openssh:/var/empty:/bin/false
rpc:x:111:111:added by portage for portmap:/dev/null:/usr/sbin/nologin
------------------------------------------------------------------------------------------------------
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/bin/false
daemon:x:2:2:daemon:/sbin:/bin/false
adm:x:3:4:adm:/var/adm:/bin/false
lp:x:4:7:lp:/var/spool/lpd:/bin/false
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/bin/false
news:x:9:13:news:/usr/lib/news:/bin/false
uucp:x:10:14:uucp:/var/spool/uucppublic:/bin/false
operator:x:11:0:operator:/root:/bin/bash
man:x:13:15:man:/usr/share/man:/bin/false
postmaster:x:14:12:postmaster:/var/spool/mail:/bin/false
postgres:x:70:70::/var/lib/postgresql:/bin/bash
nut:x:84:84:nut:/var/state/nut:/bin/false
postfix:x:207:207:postfix:/var/spool/postfix:/bin/false
smmsp:x:209:209:smmsp:/var/spool/mqueue:/bin/false
portage:x:250:250:portage:/var/tmp/portage:/bin/false
nobody:x:65534:65534:nobody:/:/bin/false
sshd:x:22:22:added by portage for openssh:/var/empty:/bin/false
rpc:x:111:111:added by portage for portmap:/dev/null:/usr/sbin/nologin
ovh:x:500:500::/home/ovh:/bin/false
mysql:x:60:60:added by portage for mysql:/dev/null:/usr/sbin/nologin
named:x:40:40:added by portage for bind:/etc/bind:/usr/sbin/nologin
clamav:x:101:501:added by portage for clamav:/dev/null:/usr/sbin/nologin
alias:x:501:200:added by portage for qmail-ovh:/var/qmail/alias:/bin/bash
qmaild:x:502:200:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmaill:x:503:200:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmailp:x:504:200:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmailq:x:505:502:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmailr:x:506:502:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmails:x:507:502:added by portage for qmail-ovh:/var/qmail:/bin/bash
vpopmail:x:508:503:added by portage for qmail-ovh:/home/vpopmail:/bin/bash
qscand:x:509:504:added by portage for qmail-ovh:/var/spool/qmailscan:/usr/sbin/nologin
cron:x:16:16:added by portage for cronbase:/var/spool/cron:/usr/sbin/nologin
ftp:x:21:21:added by portage for ftpbase:/home/ftp:/usr/sbin/nologin
ldap:x:439:439:added by portage for openldap:/usr/lib64/openldap:/usr/sbin/nologin
tcpdump:x:102:506:added by portage for tcpdump:/dev/null:/usr/sbin/nologin
proftpd:x:103:507:added by portage for proftpd:/dev/null:/sbin/nologin
sfim:x:1000:100::/home/www/sfim:/bin/bash
actimanu3:x:1001:100::/home/www/actimanu3/:/bin/bash
adlc:x:1002:100::/home/www/adlc/:/bin/bash
encyclodocs:x:1003:100::/home/www/encyclodocs/:/bin/bash
altajurisalencon:x:1004:100::/home/www/altajurisalencon/:/bin/bash
altajurisargentan:x:1005:100::/home/www/altajurisargentan/:/bin/bash
altajurisavranches:x:1006:100::/home/www/altajurisavranches/:/bin/bash
altajuriscaen:x:1007:100::/home/www/altajuriscaen/:/bin/bash
altajurischerbourg:x:1008:100::/home/www/altajurischerbourg/:/bin/bash
altajurisdieppe:x:1009:100::/home/www/altajurisdieppe/:/bin/bash
altajurisevreux:x:1010:100::/home/www/altajurisevreux/:/bin/bash
altajurislehavre:x:1011:100::/home/www/altajurislehavre/:/bin/bash
altajurislisieux:x:1012:100::/home/www/altajurislisieux/:/bin/bash
altajurisnormandie:x:1013:100::/home/www/altajurisnormandie/:/bin/bash
altajurisrouen:x:1014:100::/home/www/altajurisrouen/:/bin/bash
aocisigny:x:1015:100::/home/www/aocisigny/:/bin/bash
aselie:x:1016:100::/home/www/aselie/:/bin/bash
aseo:x:1017:100::/home/www/aseo/:/bin/bash
atdynet:x:1018:100::/home/www/atdynet/:/bin/bash
deauville:x:1019:100::/home/www/deauville/:/bin/bash
benoist:x:1020:100::/home/www/benoist/:/bin/bash
blh:x:1021:100::/home/www/blh/:/bin/bash
bullster:x:1022:100::/home/www/bullster/:/bin/bash
cgtcheminots:x:1023:100::/home/www/cgtcheminots/:/bin/bash
ddjsorne:x:1024:100::/home/www/ddjsorne/:/bin/bash
debeauvais:x:1025:100::/home/www/debeauvais/:/bin/bash
drjs:x:1026:100::/home/www/drjs/:/bin/bash
ecreps:x:1027:100::/home/www/ecreps/:/bin/bash
hiszfamily:x:1028:100::/home/www/hiszfamily/:/bin/bash
ilp:x:1029:100::/home/www/ilp/:/bin/bash
parcfelins:x:1030:100::/home/www/parcfelins/:/bin/bash
pdc:x:1031:100::/home/www/pdc/:/bin/bash
qualiconcept:x:1032:100::/home/www/qualiconcept/:/bin/bash
relaisdesc:x:1033:100::/home/www/relaisdesc/:/bin/bash
scenar:x:1034:100::/home/www/scenar/:/bin/bash
segura:x:1035:100::/home/www/segura/:/bin/bash
sergedanais:x:1036:100::/home/www/sergedanais/:/bin/bash
toutcaen:x:1037:100::/home/www/toutcaen/:/bin/bash
neeko:x:1038:100::/home/www/neeko/:/bin/bash
archives:x:1039:100::/home/www/archives/:/bin/bash
tag:x:1040:10::/home/tag/:/bin/bash
telfrance:x:1041:100::/home/www/telfrance/:/bin/bash
atdynettodo:x:1042:100::/home/www/atdynettodo/:/bin/bash
otbocage:x:1043:100::/home/www/otbocage/:/bin/bash
blhexport:x:1044:100::/home/www/blh/export/:/bin/bash
secdem:x:1045:100::/home/www/secdem/:/bin/bash
intercom:x:1046:100::/home/www/intercom/:/bin/bash
kameleon:x:1047:100::/home/www/kameleon/:/bin/bash
snip:x:1048:100::/home/www/snip/:/bin/bash
keragan:x:1049:100::/home/www/keragan/:/bin/bash
berith:x:1050:100::/home/www/berith:/bin/bash
pain2folie:x:1051:21::/home/paindefolie:/bin/bash
dhcp:x:104:508:added by portage for dhcp:/var/lib/dhcp:/sbin/nologin
wwf:x:1052:100::/home/www/wwf/:/bin/bash
bagster2004:x:1053:100::/home/www/bagster2004:/bin/bash
stherese:x:1054:100::/home/www/stherese/:/bin/bash

Donc on peut pas dire que tout les serveurs OVH sont sécurisé que sa xD

avoir juste la db relier avec le site c'est une chose mais avoir le tout juste avec une faille de Type Injection SQL c'est sympa sur tout sur un hoteur comme OVH

Edited by ColdFire
Link to post
Share on other sites
  • Administrators

Bonsoir,

 

De quoi tu parle mon ami ?

 

OVH livre le serveur mais n'assure en aucun cas la sécurité logiciel.. ni sa gestion ;) c'est au client de tout installer et de protéger son serveur avec un firewall et une configuration sécurisé.

 

++

  • Like 4
Link to post
Share on other sites
  • Administrators
Mais sur du sharedhosting "hébergement mutualisé" impossible de faire tout sa donc la partie Shared et moin chère mais plus sécurisé !

 

lool.. logique, vu que LA c'est OVH qui sécurise ^^

  • Like 1
Link to post
Share on other sites
  • 1 month later...
mais c'est bizarre que OVH ne mé pas de système de sécurité automatiser sur les dédies O_o

Ok donc il vont placer derrière chaque serveur un pare feu Physique ? allez on calcule vite fait , ...Humm

 

70 000 Serveurs ( avec le data du Quebec il passe à 250 000 ) Donc 70 000 x 250 ( le prix d'un petit Cisco 5000) sans comptez l'installation ....

 

Outch sa fait mal , mais c'est rien par rapport au 35 Million euro que Ovh engrange ...Mais attention il faut que utilisateur à chaque fois qu'il veut installez un Mysql ou php ou même un serveur de jeux , il doit ouvrir les port sur le Firewal Cisco ...

 

Donc faire ceci avec les 70 k Serveurs ?

 

je pense pas que Octave est envie de ce faire chier ......Avec Ovh , c'est du pas chère mais débrouiller vous ! les autres on fait pareil pour info

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...