Aller au contenu
Règlement du forum ×
IPTV et arnaques ×

La Preuve que les Serveur de OVH ne sont pas aussi Sécurisé

ColdFire

Par ColdFire
dans Sécurité Informatique

 Share

Messages recommandés

ColdFire Newbie

ColdFire

Posté(e)
Posté(e) (modifié)

Bonjours voila y'a quelque temps j'ai entendu par quelque Étudiant dans la fac que si on achète un serveur chez

OVH Un grand Hébergeur Français :lol:meme si y'a une faille de type SQL sur ton site en peut l'exploité vue que

OVH dispose de system de Audit ps: des systèmes de surveillance oui c'est vrai

mais bon je me suis dis je vais testé "balek tezharli" je peut au moins avoir la base de données qui relier avec l'interface du site

Voila après quelque recherche sa ma étonnées de voir le prix des serveurs Dédier et leur niveau de sécurité lol

voila le premier test:

http://www.tornier.com Voila le site en question qui est héberger sur un serveur Dédier chez OVH

Informations:http://whois.domaintools.com/91.121.73.46

âpres exploit :


Host IP:              91.121.181.95
Web Server:        Apache/2.2.16 (Unix) mod_ssl/2.2.16 OpenSSL/0.9.8o
Powered-by:        PHP/4.4.8_pre20070816-pl1-gentoo
DB Server:           MySQL error based
Current User:       root@localhost
Sql Version:         5.0.44-log
Current DB:         tornier_*****
System User:       root@localhost
Host Name:         ns363656.ovh.net
Installation dir:    /
DB User & Pass:     
                       root:*5F1D1812*****************F834E47BC5E:localhost
Data Bases:
       mysql
       test
       tornier_australia
       tornier_denmark
       tornier_denmark_backup
       tornier_espania
       tornier_germany
       tornier_italia
       tornier_japan
       tornier_netherlands
       tornier_switzerland

Voila le 2em Exemple :

le site:http://www.bagster.com

Informations:http://whois.domaintools.com/87.98.139.244

âpres exploit :


Host IP:               87.98.139.244
Web Server:         Apache/2.2.19 (Unix) mod_ssl/2.2.19 OpenSSL/0.9.8o
Powered-by:         PHP/5.2.13-pl1-gentoo
Current User:        bagster@localhost
Sql Version:          5.0.44
Current DB:          bagster2007
System User:        bagster@localhost
Host Name:          ns211902.ovh.net
Installation dir:     /
DB User:              'bagster'@'%'
Data Bases:
bagster
bagster2
bagster2004
bagster2007
bagsterbourse
bagsterlog
bagsterphpdig

+ un Bonus

Code:

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/bin/false
daemon:x:2:2:daemon:/sbin:/bin/false
adm:x:3:4:adm:/var/adm:/bin/false
lp:x:4:7:lp:/var/spool/lpd:/bin/false
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/bin/false
news:x:9:13:news:/usr/lib/news:/bin/false
uucp:x:10:14:uucp:/var/spool/uucppublic:/bin/false
operator:x:11:0:operator:/root:/bin/bash
man:x:13:15:man:/usr/share/man:/bin/false
postmaster:x:14:12:postmaster:/var/spool/mail:/bin/false
postgres:x:70:70::/var/lib/postgresql:/bin/bash
nut:x:84:84:nut:/var/state/nut:/bin/false
postfix:x:207:207:postfix:/var/spool/postfix:/bin/false
smmsp:x:209:209:smmsp:/var/spool/mqueue:/bin/false
portage:x:250:250:portage:/var/tmp/portage:/bin/false
nobody:x:65534:65534:nobody:/:/bin/false
sshd:x:22:22:added by portage for openssh:/var/empty:/bin/false
rpc:x:111:111:added by portage for portmap:/dev/null:/usr/sbin/nologin
------------------------------------------------------------------------------------------------------
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/bin/false
daemon:x:2:2:daemon:/sbin:/bin/false
adm:x:3:4:adm:/var/adm:/bin/false
lp:x:4:7:lp:/var/spool/lpd:/bin/false
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/bin/false
news:x:9:13:news:/usr/lib/news:/bin/false
uucp:x:10:14:uucp:/var/spool/uucppublic:/bin/false
operator:x:11:0:operator:/root:/bin/bash
man:x:13:15:man:/usr/share/man:/bin/false
postmaster:x:14:12:postmaster:/var/spool/mail:/bin/false
postgres:x:70:70::/var/lib/postgresql:/bin/bash
nut:x:84:84:nut:/var/state/nut:/bin/false
postfix:x:207:207:postfix:/var/spool/postfix:/bin/false
smmsp:x:209:209:smmsp:/var/spool/mqueue:/bin/false
portage:x:250:250:portage:/var/tmp/portage:/bin/false
nobody:x:65534:65534:nobody:/:/bin/false
sshd:x:22:22:added by portage for openssh:/var/empty:/bin/false
rpc:x:111:111:added by portage for portmap:/dev/null:/usr/sbin/nologin
ovh:x:500:500::/home/ovh:/bin/false
mysql:x:60:60:added by portage for mysql:/dev/null:/usr/sbin/nologin
named:x:40:40:added by portage for bind:/etc/bind:/usr/sbin/nologin
clamav:x:101:501:added by portage for clamav:/dev/null:/usr/sbin/nologin
alias:x:501:200:added by portage for qmail-ovh:/var/qmail/alias:/bin/bash
qmaild:x:502:200:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmaill:x:503:200:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmailp:x:504:200:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmailq:x:505:502:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmailr:x:506:502:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmails:x:507:502:added by portage for qmail-ovh:/var/qmail:/bin/bash
vpopmail:x:508:503:added by portage for qmail-ovh:/home/vpopmail:/bin/bash
qscand:x:509:504:added by portage for qmail-ovh:/var/spool/qmailscan:/usr/sbin/nologin
cron:x:16:16:added by portage for cronbase:/var/spool/cron:/usr/sbin/nologin
ftp:x:21:21:added by portage for ftpbase:/home/ftp:/usr/sbin/nologin
ldap:x:439:439:added by portage for openldap:/usr/lib64/openldap:/usr/sbin/nologin
tcpdump:x:102:506:added by portage for tcpdump:/dev/null:/usr/sbin/nologin
proftpd:x:103:507:added by portage for proftpd:/dev/null:/sbin/nologin
sfim:x:1000:100::/home/www/sfim:/bin/bash
actimanu3:x:1001:100::/home/www/actimanu3/:/bin/bash
adlc:x:1002:100::/home/www/adlc/:/bin/bash
encyclodocs:x:1003:100::/home/www/encyclodocs/:/bin/bash
altajurisalencon:x:1004:100::/home/www/altajurisalencon/:/bin/bash
altajurisargentan:x:1005:100::/home/www/altajurisargentan/:/bin/bash
altajurisavranches:x:1006:100::/home/www/altajurisavranches/:/bin/bash
altajuriscaen:x:1007:100::/home/www/altajuriscaen/:/bin/bash
altajurischerbourg:x:1008:100::/home/www/altajurischerbourg/:/bin/bash
altajurisdieppe:x:1009:100::/home/www/altajurisdieppe/:/bin/bash
altajurisevreux:x:1010:100::/home/www/altajurisevreux/:/bin/bash
altajurislehavre:x:1011:100::/home/www/altajurislehavre/:/bin/bash
altajurislisieux:x:1012:100::/home/www/altajurislisieux/:/bin/bash
altajurisnormandie:x:1013:100::/home/www/altajurisnormandie/:/bin/bash
altajurisrouen:x:1014:100::/home/www/altajurisrouen/:/bin/bash
aocisigny:x:1015:100::/home/www/aocisigny/:/bin/bash
aselie:x:1016:100::/home/www/aselie/:/bin/bash
aseo:x:1017:100::/home/www/aseo/:/bin/bash
atdynet:x:1018:100::/home/www/atdynet/:/bin/bash
deauville:x:1019:100::/home/www/deauville/:/bin/bash
benoist:x:1020:100::/home/www/benoist/:/bin/bash
blh:x:1021:100::/home/www/blh/:/bin/bash
bullster:x:1022:100::/home/www/bullster/:/bin/bash
cgtcheminots:x:1023:100::/home/www/cgtcheminots/:/bin/bash
ddjsorne:x:1024:100::/home/www/ddjsorne/:/bin/bash
debeauvais:x:1025:100::/home/www/debeauvais/:/bin/bash
drjs:x:1026:100::/home/www/drjs/:/bin/bash
ecreps:x:1027:100::/home/www/ecreps/:/bin/bash
hiszfamily:x:1028:100::/home/www/hiszfamily/:/bin/bash
ilp:x:1029:100::/home/www/ilp/:/bin/bash
parcfelins:x:1030:100::/home/www/parcfelins/:/bin/bash
pdc:x:1031:100::/home/www/pdc/:/bin/bash
qualiconcept:x:1032:100::/home/www/qualiconcept/:/bin/bash
relaisdesc:x:1033:100::/home/www/relaisdesc/:/bin/bash
scenar:x:1034:100::/home/www/scenar/:/bin/bash
segura:x:1035:100::/home/www/segura/:/bin/bash
sergedanais:x:1036:100::/home/www/sergedanais/:/bin/bash
toutcaen:x:1037:100::/home/www/toutcaen/:/bin/bash
neeko:x:1038:100::/home/www/neeko/:/bin/bash
archives:x:1039:100::/home/www/archives/:/bin/bash
tag:x:1040:10::/home/tag/:/bin/bash
telfrance:x:1041:100::/home/www/telfrance/:/bin/bash
atdynettodo:x:1042:100::/home/www/atdynettodo/:/bin/bash
otbocage:x:1043:100::/home/www/otbocage/:/bin/bash
blhexport:x:1044:100::/home/www/blh/export/:/bin/bash
secdem:x:1045:100::/home/www/secdem/:/bin/bash
intercom:x:1046:100::/home/www/intercom/:/bin/bash
kameleon:x:1047:100::/home/www/kameleon/:/bin/bash
snip:x:1048:100::/home/www/snip/:/bin/bash
keragan:x:1049:100::/home/www/keragan/:/bin/bash
berith:x:1050:100::/home/www/berith:/bin/bash
pain2folie:x:1051:21::/home/paindefolie:/bin/bash
dhcp:x:104:508:added by portage for dhcp:/var/lib/dhcp:/sbin/nologin
wwf:x:1052:100::/home/www/wwf/:/bin/bash
bagster2004:x:1053:100::/home/www/bagster2004:/bin/bash
stherese:x:1054:100::/home/www/stherese/:/bin/bash

Donc on peut pas dire que tout les serveurs OVH sont sécurisé que sa xD

avoir juste la db relier avec le site c'est une chose mais avoir le tout juste avec une faille de Type Injection SQL c'est sympa sur tout sur un hoteur comme OVH

Modifié par ColdFire
Lien vers le commentaire
Partager sur d’autres sites
  • Administrateurs
Lyès Experienced

Lyès

Posté(e)
  • Administrateurs
Posté(e)

Bonsoir,

 

De quoi tu parle mon ami ?

 

OVH livre le serveur mais n'assure en aucun cas la sécurité logiciel.. ni sa gestion ;) c'est au client de tout installer et de protéger son serveur avec un firewall et une configuration sécurisé.

 

++

  • Like 4
Lien vers le commentaire
Partager sur d’autres sites
  • 1 month later...
snooppy Newbie

snooppy

Posté(e)
Posté(e)
mais c'est bizarre que OVH ne mé pas de système de sécurité automatiser sur les dédies O_o

Ok donc il vont placer derrière chaque serveur un pare feu Physique ? allez on calcule vite fait , ...Humm

 

70 000 Serveurs ( avec le data du Quebec il passe à 250 000 ) Donc 70 000 x 250 ( le prix d'un petit Cisco 5000) sans comptez l'installation ....

 

Outch sa fait mal , mais c'est rien par rapport au 35 Million euro que Ovh engrange ...Mais attention il faut que utilisateur à chaque fois qu'il veut installez un Mysql ou php ou même un serveur de jeux , il doit ouvrir les port sur le Firewal Cisco ...

 

Donc faire ceci avec les 70 k Serveurs ?

 

je pense pas que Octave est envie de ce faire chier ......Avec Ovh , c'est du pas chère mais débrouiller vous ! les autres on fait pareil pour info

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Share
Aller sur la liste des sujets

  • Messages

    • popmpopm
      Etat des lieux de la Fibre en Algérie depuis 2020

      Par popmpopm · Posté(e)

      on a meme pas le wifi 6 mais il ce permis  de parler de la wifi 7  qu'ils comprennent que on est pas un pays qui est gourmant de la bande passante on a pas bc de  consommateurs de la 4k ou 8k etc ....
    • laliche
      Android TV- TIZEN- WEBOS (Tutoriaux,Astuces,Firmware,Aides)

      Par laliche · Posté(e)

      Content pour toi et bonne vision
    • dico12
      Android TV- TIZEN- WEBOS (Tutoriaux,Astuces,Firmware,Aides)

      Par dico12 · Posté(e)

      salam laliche c'est bon j'ai pris ibo player pro , activé à vie première constatation j'ai le replay des chaines, mais sans la mini icone devant le nom des chaines pour savoir si le replay existe ou non .. heureusement que je sais par expérience quelles sont les chaines qui le proposent ou pas , autrement .. aucune indication ! l'interace est simpliste ... EPG pas détaillé (par rapport à smarters pro par example) bref à voir dans le temps avec l'utilisation .. en lisant qu'il reste l'un des meilleurs lecteurs pour samsung ... je serais tenté de tester un autre pour comparer, j'avais tester hotplayer , j'ai trouver plus joli que ibo .. mais bon ya pas que ça qui compte (stabilité , bug .. ect) 
    • dico12
      Clé Tenda wifi6

      Par dico12 · Posté(e)

      salam, bonjour Lyès si j'ai bien compris, il serait judicieux que je réfléchisse de la sorte "qui peut le plus peut le moins" .. parceque je pourrais (vu le bridage inextensible du port usb 2.0) .. au lieu de m'acharner à trouver une clé wifi 6 , me contenter par example d'une simple clé wifi 5 et qui pourrait facilement (normalement) atteindre mes 200 max que me le permet le port usb2 tout en sachant d'un autre coté qu'investir dans une clé wifi 6 serait judicieux pour le futur !
    • laliche
      Etat des lieux de la Fibre en Algérie depuis 2020

      Par laliche · Posté(e)

      Je ne dis pas que  c'est mentionné  qu'on paye plus notre abonnement par rapport au modem ayant un wifi 7. Ma question posée autrement est  pourquoi et dans quel but au cours du bilan/prévisions d'AT on dit que "Le lancement du Wi-Fi 7 est venu renforcer cette avancée" . Cette phrase est-ce le prélude à une future offre d'abonnement qui serait vendue avec le Wifi 7 ? comme ils l'ont déjà fait par le passé avec une  l'offre "Wifi Dary" qui existait  au temps de Fawri/Easy et qui a été retirée par la suite. Les infos rapportées par les journaux en ligne (dnalgerie.com, maghrebemergent.news, mobilealgerie.com et beaucoup  d'autres ) sont: "Dans son discours, le ministre Zerrouki a salué les efforts accomplis par Algérie Télécom en rappelant que le pays comptait à peine 53 000 abonnés FTTH au début de l’année 2020. Le franchissement de la barre des deux millions, en seulement quelques années, illustre selon lui une accélération fulgurante qui s’inscrit dans les standards internationaux. Il a mis en avant l’importance de la volonté politique dans cette transformation, affirmant que la conjugaison d’une vision claire et de compétences locales peut permettre à l’Algérie de rattraper son retard technologique et de s’inscrire pleinement dans la dynamique mondiale de l’économie numérique. Le lancement du Wi-Fi 7 est venu renforcer cette avancée. Cette nouvelle norme de connectivité sans fil, qui dépasse de loin les performances du Wi-Fi 6, est capable d’atteindre des vitesses allant jusqu’à 46 Gigabits par seconde. Cela représente une augmentation d’environ 4,8 fois par rapport à la génération précédente. Cette capacité ouvre la voie à des usages intensifs et complexes tels que la diffusion de contenu en très haute définition (4K et 8K), les environnements de réalité virtuelle, le cloud gaming, et la gestion simultanée de plusieurs dizaines d’appareils sans perte de débit. Pour Algérie Télécom, le lancement de la Wi-FI 7 ne constitue pas un simple progrès technique. Elle traduit une volonté claire de se positionner comme un leader régional dans le domaine des télécommunications. Ce déploiement s’inscrit dans une démarche plus large d’amélioration continue des services offerts aux citoyens, avec comme ambition de créer un écosystème numérique robuste, apte à soutenir l’essor des entreprises, l’éducation à distance, et la numérisation de l’administration publique."  
×
×
  • Créer...