Aller au contenu
Règlement du forum ×
IPTV et arnaques ×

la suite www.mobilis.dz

SpYm4n

Par SpYm4n
dans Sécurité Informatique

 Share

Messages recommandés

Invité HAVOC

Invité HAVOC

Posté(e)
Posté(e)

Mais foutez la paix à Israël, c'est de la politique étrangère qui n'a rien avoir avec l'Algérie. Nous sommes algériens, on règle nos propres problèmes, on n'a pas à s'ingérer dans des conflits qui nous sont totalement étrangers. Nous ne sommes pas plus proche d'un autrichien que d'un palestinien... c'est une fraternité virtuelle.

Lien vers le commentaire
Partager sur d’autres sites
mouradski Newbie

mouradski

Posté(e)
Posté(e)
Mais foutez la paix à Israël, c'est de la politique étrangère qui n'a rien avoir avec l'Algérie. Nous sommes algériens, on règle nos propres problèmes, on n'a pas à s'ingérer dans des conflits qui nous sont totalement étrangers. Nous ne sommes pas plus proche d'un autrichien que d'un palestinien... c'est une fraternité virtuelle.

 

GOTO mobilis.DZ "GAZA reste dans nos coeurs" le hacker a dit et puis havoc si tu pense vraiment qu'on doit foutre la paix à israel c'est que t'as foutu la paix aux victimes d'israel et puis pour la fraternité virtuelle comme tu dis c'est mieu que rien, moi quand un palestinien meurt ça me fait mal au coeur et ça n'a rien n'avoir avec la politique....bon j'arrete la..:mad:

Lien vers le commentaire
Partager sur d’autres sites
Invité HAVOC

Invité HAVOC

Posté(e)
Posté(e)
GOTO mobilis.DZ "GAZA reste dans nos coeurs" le hacker a dit et puis havoc si tu pense vraiment qu'on doit foutre la paix à israel c'est que t'as foutu la paix aux victimes d'israel et puis pour la fraternité virtuelle comme tu dis c'est mieu que rien, moi quand un palestinien meurt ça me fait mal au coeur et ça n'a rien n'avoir avec la politique....bon j'arrete la..:mad:

 

Oui quand un palestinien meurt ça te fait mal au coeur mais quand la famine et la guerre civile ronge des pays d'Afrique noir tu t'en fou n'est ce pas ? J'ai jamais vu un algérien protester ou agir pour les pauvres africains et pourtant nous sommes bien africains non ?

C'est de l'hypocrisie de soutenir aveuglément les palestiniens sans avoir d'esprit critique, je ne vais pas m'étaler sur le sujet parce que je suis déjà hors charte mais je tiens a rappeler qu'il faut se souvenir de qui et de comment Israél a été créé, si mes souvenir sont bons, un état palestinien n'existait pas en ce temps là...etc.

Une guerre est toujours sale, j'aimerais bien qu'on me cite ce pays qui a déjà fait une guerre propre ?!?! Je ne soutiens pas plus Israél que la Palestine mais je n'aime pas les jugements préconçus.

Lien vers le commentaire
Partager sur d’autres sites
Invité HAVOC

Invité HAVOC

Posté(e)
Posté(e)
Il a surrement du uploader un shell sur le server , il jou sur les site !

 

Oui, surtout que la sécurisation laisse à désirer et qu'il est donc possible de remonter l'arborescence de façon à atteindre les autres sites hébergés. Franchement, c'est une sécurisation catastrophique :)

Lien vers le commentaire
Partager sur d’autres sites
assilabox Newbie

assilabox

Posté(e)
Posté(e)

et de mon coté la liste des abuse exploit continue à grandir ;-)

 

k a i s - d z . c o m

h a c k d z . c o m

d z - h 4 c k 3 r z . c o m

d z - h a c k e r s . t k

d z h a c k e r s . n e t s o n s . o r g

d a t m a n . f r e e . f r

d e d h a c k . j e e r a n . c o m

 

à qui le tour ;-)

Lien vers le commentaire
Partager sur d’autres sites
Invité HAVOC

Invité HAVOC

Posté(e)
Posté(e)
et de mon coté la liste des abuse exploit continue à grandir ;-)

 

k a i s - d z . c o m

h a c k d z . c o m

d z - h 4 c k 3 r z . c o m

d z - h a c k e r s . t k

d z h a c k e r s . n e t s o n s . o r g

d a t m a n . f r e e . f r

d e d h a c k . j e e r a n . c o m

 

à qui le tour ;-)

 

MDR :D:D:D

Lien vers le commentaire
Partager sur d’autres sites
Boss_Med Newbie

Boss_Med

Posté(e)
Posté(e)
Oui, surtout que la sécurisation laisse à désirer et qu'il est donc possible de remonter l'arborescence de façon à atteindre les autres sites hébergés. Franchement, c'est une sécurisation catastrophique :)

mème si open base dir est activé on peut la surpassé :rolleyes:

il y a une méthode très simple mais j'aime bien savoir comment sécuriser ça :)

de toute façon on peut aussi utiliser d'autres script perl

Lien vers le commentaire
Partager sur d’autres sites
Invité HAVOC

Invité HAVOC

Posté(e)
Posté(e)
mème si open base dir est activé on peut la surpassé :rolleyes:

il y a une méthode très simple mais j'aime bien savoir comment sécuriser ça :)

de toute façon on peut aussi utiliser d'autres script perl

 

Il y a effectivement des failles sous PHP4 et certaines version de PHP5 qui permettent de contourner une restriction via Open_BaseDir mais c'est en partie corrigé à l'aide de mises à jours disponibles.

 

De même, cette option empêche directement l'utilisation d'un shell type C99 si on prend aussi la peine de désactiver exect() et shell_exec()...etc.

 

Il faudrait aussi voir sous quel OS tourne ce serveur, généralement, CERIST et Djaweb affectionnent les serveurs Windows+IIS. Dans le cas de IIS5 la sécurité est vulnérable dès la conception de l'application, sous IIS6 ça c'est un peu arrangé, c'est "secure by design" comme on dit, c'est-à-dire que l'aspect sécurité a été pris en compte dès l'élaboration de l'architecture de IIS.

Pour ce qui est des scripts perl et bien il faut désactiver ce module (ou plutôt ne pas l'installer) si on ne l'exploite pas, je connais pas voir très très peu de sites algériens qui utilisent des scripts perl.

L'avantage d'un serveur WAMP c'est qu'avec un bon antivirus (style Kaspersky Internet Suite) bien configuré on peut plus ou moins facilement lutter contre l'upload des backdoor PHP ou perl, l'antivirus les détectes et les effaces sur le champ.

Sous les serveurs LAMP, on utilise rarement d'antivirus, ce qui rend l'exploitation des backdoors PHP plus réalisable.

Lien vers le commentaire
Partager sur d’autres sites
Boss_Med Newbie

Boss_Med

Posté(e)
Posté(e)
Il y a effectivement des failles sous PHP4 et certaines version de PHP5 qui permettent de contourner une restriction via Open_BaseDir mais c'est en partie corrigé à l'aide de mises à jours disponibles

donc c'est par mise à jour qu'on régle ça merçi

De même, cette option empêche directement l'utilisation d'un shell type C99 si on prend aussi la peine de désactiver exect() et shell_exec()...etc.

oui mais c'est aussi contournable grace au commandes sql du même shell ;) et on peut lire pas mal de fichier avec,,,,

Il faudrait aussi voir sous quel OS tourne ce serveur, généralement, CERIST et Djaweb affectionnent les serveurs Windows+IIS. Dans le cas de IIS5 la sécurité est vulnérable dès la conception de l'application, sous IIS6 ça c'est un peu arrangé, c'est "secure by design" comme on dit, c'est-à-dire que l'aspect sécurité a été pris en compte dès l'élaboration de l'architecture de IIS.

c'était IIS6 si je me souviens bien ,dans IIS5 il est vulnérable et il cause des dégats grace a l'ajoute d'un nouveau administrateurs au serveur

 

Pour ce qui est des scripts perl et bien il faut désactiver ce module (ou plutôt ne pas l'installer) si on ne l'exploite pas, je connais pas voir très très peu de sites algériens qui utilisent des scripts perl.

L'avantage d'un serveur WAMP c'est qu'avec un bon antivirus (style Kaspersky Internet Suite) bien configuré on peut plus ou moins facilement lutter contre l'upload des backdoor PHP ou perl, l'antivirus les détectes et les effaces sur le champ.

ah oui il faut qu'il soit installer et pour wamp l'utilistation de htaccess pour garantir la securité de phpmyadmin :)

Sous les serveurs LAMP, on utilise rarement d'antivirus, ce qui rend l'exploitation des backdoors PHP plus réalisable.

donc c'est plus vulnérable ?

Lien vers le commentaire
Partager sur d’autres sites
Invité HAVOC

Invité HAVOC

Posté(e)
Posté(e)

A mon avis un serveur LAMP est plus sécurisé quand on s'y connait, quand on s'y connait pas mieux vaut un serveur WAMP car plus facile à administrer.

L'avantage du LAMP et de l'architecture Linux, c'est le fonctionnement des processus et des users, ainsi que la gestion des droits et privilèges.

Lien vers le commentaire
Partager sur d’autres sites
Darkvader Newbie

Darkvader

Posté(e)
Posté(e)
Il y a effectivement des failles sous PHP4 et certaines version de PHP5 qui permettent de contourner une restriction via Open_BaseDir mais c'est en partie corrigé à l'aide de mises à jours disponibles.

 

De même, cette option empêche directement l'utilisation d'un shell type C99 si on prend aussi la peine de désactiver exect() et shell_exec()...etc.

 

Il faudrait aussi voir sous quel OS tourne ce serveur, généralement, CERIST et Djaweb affectionnent les serveurs Windows+IIS. Dans le cas de IIS5 la sécurité est vulnérable dès la conception de l'application, sous IIS6 ça c'est un peu arrangé, c'est "secure by design" comme on dit, c'est-à-dire que l'aspect sécurité a été pris en compte dès l'élaboration de l'architecture de IIS.

Pour ce qui est des scripts perl et bien il faut désactiver ce module (ou plutôt ne pas l'installer) si on ne l'exploite pas, je connais pas voir très très peu de sites algériens qui utilisent des scripts perl.

L'avantage d'un serveur WAMP c'est qu'avec un bon antivirus (style Kaspersky Internet Suite) bien configuré on peut plus ou moins facilement lutter contre l'upload des backdoor PHP ou perl, l'antivirus les détectes et les effaces sur le champ.

Sous les serveurs LAMP, on utilise rarement d'antivirus, ce qui rend l'exploitation des backdoors PHP plus réalisable.

 

WAMP or LAMP I don't think it matters, if you build your servers and network without security in mind, than you've opened your doors to everybody. Let's be honest and talk beyond rhetoric, Apache is no secure than IIS6 or IIS5, you don't have to take my word for it, just go to secunia.com, check the track record for the last 4-5 years of IIS6 and compare it to Apache. it's a no brainer, there are more security advisories for Apache than IIS6.

Lien vers le commentaire
Partager sur d’autres sites
Invité HAVOC

Invité HAVOC

Posté(e)
Posté(e)
WAMP or LAMP I don't think it matters, if you build your servers and network without security in mind, than you've opened your doors to everybody. Let's be honest and talk beyond rhetoric, Apache is no secure than IIS6 or IIS5, you don't have to take my word for it, just go to secunia.com, check the track record for the last 4-5 years of IIS6 and compare it to Apache. it's a no brainer, there are more security advisories for Apache than IIS6.

 

Hello,

Je sais que serveur WAMP ou LAMP ont un niveau de sécurisation dépendant directement du niveau de compétence de leur administrateur.

Cela dit, les spécificités des systèmes font que la sécurisation peut être plus ou moins bonne, je dis toujours qu'une personne ignorant tout de Linux devrait plutôt privilégier une solution WAMP relativement plus facile à administrer.

En ce qui concerne IIS5, il est moins sûr qu'IIS6 dont l'architecture a été revu, de même, depuis IIS6 lors de l'installation il n'y a que le stricte minimum des modules qui est activé contrairement à IIS5 où tout est activé par défaut à l'installation. C'est donc un changement de philosophie qui apporte pas mal d'améliorations.

En ce qui concerne la sécurisation des WAMP et LAMP, je pense qu'un serveur LAMP bien configuré apporte plus de sécurité qu'un serveur WAMP de part les spécificités de Linux.

En ce qui concerne la sécurité entre IIS6 et APACHE, je pense qu'IIS n'est potable que depuis la version 6 où comme je le disais la sécurité a été nettement améliorée, cela dit, il reste tout de même des problèmes, je ne suis pas très connaisseurs des produits de Microsoft en matière de serveurs web, mais je me demande s'il existe un moyen d'empêcher le parcours des répertoires au delà du répertoire du site web infiltré par un backdoor PHP par exemple.

De plus, il me semble que faire fonctionner du PHP sous IIS ce n'est pas terrible.

Lien vers le commentaire
Partager sur d’autres sites
Darkvader Newbie

Darkvader

Posté(e)
Posté(e)
Hello,

Je sais que serveur WAMP ou LAMP ont un niveau de sécurisation dépendant directement du niveau de compétence de leur administrateur.

Cela dit, les spécificités des systèmes font que la sécurisation peut être plus ou moins bonne, je dis toujours qu'une personne ignorant tout de Linux devrait plutôt privilégier une solution WAMP relativement plus facile à administrer.

En ce qui concerne IIS5, il est moins sûr qu'IIS6 dont l'architecture a été revu, de même, depuis IIS6 lors de l'installation il n'y a que le stricte minimum des modules qui est activé contrairement à IIS5 où tout est activé par défaut à l'installation. C'est donc un changement de philosophie qui apporte pas mal d'améliorations.

En ce qui concerne la sécurisation des WAMP et LAMP, je pense qu'un serveur LAMP bien configuré apporte plus de sécurité qu'un serveur WAMP de part les spécificités de Linux.

En ce qui concerne la sécurité entre IIS6 et APACHE, je pense qu'IIS n'est potable que depuis la version 6 où comme je le disais la sécurité a été nettement améliorée, cela dit, il reste tout de même des problèmes, je ne suis pas très connaisseurs des produits de Microsoft en matière de serveurs web, mais je me demande s'il existe un moyen d'empêcher le parcours des répertoires au delà du répertoire du site web infiltré par un backdoor PHP par exemple.

De plus, il me semble que faire fonctionner du PHP sous IIS ce n'est pas terrible.

 

Absolutely, there are bugs in every software, that's because they were made by failable humans. Not that I am an expert in Microsoft products, but because I watched and studied the significant improvement that MS brought to II6 from previous versions, and that's why more than half of the Fortune 1000 companies adopted II6 over Apache.

 

As for your question about directory transversal attacks, there are plenty of ways to prevent that, and here is what I would do.

 

1. Set Execute Permissions of the web site to none in IIS manager console.

2. Create an anonymous Web Users Group, add the IIS anonymous user account to the group.

3. Set Full Control permission to DENY on Windows and System32 folders for the anonymous web Users Group that I create.

4. By default IIS gets installed on a bootable drive (C drive) most of the time, and most of the web applications are in C:\inetpub by default, so create a new web server directory on a different drive for example (E drive).

5. In IIS Manager Console, change the web server directory from C:\inetpub to the new directory on the E drive. Moving the Web site off the boot drive volume disables many directory transversal attacks.

6. Give the new Anonymous Web Users group read-only permission to the new Web site folder to prevent anonymous users from writing to or creating files on the web site.

7. Make sure to sanitize Inputs and URL from your web application.

Lien vers le commentaire
Partager sur d’autres sites
Invité si_el_hadj

Invité si_el_hadj

Posté(e)
Posté(e)

salam,

le site fonctionne bien 12/03/2008.

c'est de haker un site , preuve de faiblaises pour les grand boite qui fabrique et ventes des firwell, mais pour hacker un site etatique, et dir ghaza, . . .

pour ce lui qui a hacker ghaza . . ., l'algerie a aider les palistinien depuis l'existance de cette affaire, (lire l'histoir)

pour quoi tu fait grand devant des algeriens et n'est pas hacker les sites qui ont insulter notre prophete, qui ansulte les algeriens, insulte nos principes,

quel domage . . . . quel domage que pour une affaire aussi grande comme ghaza, tu fait hacker un site algerien etatique, . . ..sa na pas de sence . . . .

essayer d'etre plus realiste. . . plus active envers cette afaire. . . .

essayer d'etre humainitaire , aider les gents avec quoi il ont besoin, . . . .

mes pas hacker des site qui na rien a voir avec ni ghaza ni d autre part,....

salam

Lien vers le commentaire
Partager sur d’autres sites
lalim92 Newbie

lalim92

Posté(e)
Posté(e)
salam,

le site fonctionne bien 12/03/2008.

c'est de haker un site , preuve de faiblaises pour les grand boite qui fabrique et ventes des firwell, mais pour hacker un site etatique, et dir ghaza, . . .

pour ce lui qui a hacker ghaza . . ., l'algerie a aider les palistinien depuis l'existance de cette affaire, (lire l'histoir)

pour quoi tu fait grand devant des algeriens et n'est pas hacker les sites qui ont insulter notre prophete, qui ansulte les algeriens, insulte nos principes,

quel domage . . . . quel domage que pour une affaire aussi grande comme ghaza, tu fait hacker un site algerien etatique, . . ..sa na pas de sence . . . .

essayer d'etre plus realiste. . . plus active envers cette afaire. . . .

essayer d'etre humainitaire , aider les gents avec quoi il ont besoin, . . . .

mes pas hacker des site qui na rien a voir avec ni ghaza ni d autre part,....

salam

 

Désolé, mais hacker un site (tout court) n'a pas de sens, ok? même si on n'aime pas son contenu ;)

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Share
Aller sur la liste des sujets
×
×
  • Créer...