Bonjour. Je crée ce topic parce que j'ai, plus ou moins involontairement, trouvé des failles critiques chez mon hébergeur...
La question : je fait quoi? Si je contacte le staff je suis cetrain de me faire virer de mon hébergeur....mais je peux pas les laisser avec ces failles...si?
Avant de me répondre "mais si, vas leur parler ils comprendront ", il faut que vous sachiez que l'hébergeur en question n'est pas tres "clean"...déja c'est un hbéergeur gratuit (je préfere taire son nom pour ne pas m'atirer de soucis )proposant bande passante illimité et 2 GO d'espace disque. Il n'y a pas d'incitation a une formule payante, pas de possibilité de faire des dons..rien. Je crois qu'il n'y a meme pas d'offre payante a vrai dire...(donc il y a forcément anguillle sous roche. ..Des serveurs c'est pas gratuit et ca coute cher à entretenir). Ensuite, mon hébergeur se dit "francais" mais son panel est un "francais-anglais" mal traduit...et il suffit de regarder l'emplacement physique des serveurs pour voir qu'is sont en angleterre...Pour un hébergeur francais c'est pas très classe d'afficher "votre compte has been created"...
concrètement :
-j'ai trouvé le moyen de contourner les limites des "crons"(un cron c'est une tache planifiée...on demande a un fichier php de s'exécuter a telle date). Mon hébergeur pose une limite "1 exécution toutes les 5 minutes maximum"...j'ai trouvé le moyen de contourner la limite(et donc de mettre 1 fois par minute par exemple, voir plus....)
-J'ai trouvé le nom de le mot de passe d'une des base des donnée "systeme" de mon hébergeur : celle qui enregistre les abus(requete sql trop lente, trop forte utilisation CPU ou RAM, etc...)...
-J'ai trouvé(et je meux modifier je pense....pas testé) l'emplacement du fichier contenant la liste des IP bannies pour trop d'acces(trop de demandes de pages dans l'heure par cette IP, etc...)
(et je crois qu'il y a encore d'autre choses....)
Je n'ai rien modifié sur leur base de donnée ou autre, j'ai simplement voulu regarder jusqu'ou, moi, petit lycéen de 17 ans, pouvais aller face à un hébergeur et à ses techniciens ultra experimenté
Donc svp vos avis : est ce que je dois contacter mon hébergeur pour faire part de mes..heu...découvertes, ou pas? Sachant que je n'ai pas découvert ce truc de maniere tres...honete(j'ai du decoder un fichier php encodé avec ioncube...)
En général les gens qui découvrent des failles ont deux solutions :
- en profiter pour s'introduire et récupérer des infos (pas cool et illégal)
- prévenir les responsables pour qu'ils améliorent leurs produits
En général les responsables systèmes savent être compréhensifs et préfèrent corriger les failles plutôt que de faire la sourde oreille, au risque que leur système tombe.
Essaie donc de les contacter et vois ce qu'ils disent. Au pire tu n'auras qu'à changer d'hébergeur (un bon cette fois) !
P.S. : Si leur interface est mal traduite, il s'agit peut-être d'une sorte de CMS qu'ils ont installés sans se préoccuper du résultat...
Je pense que si tu n'as pas profité de tes découvertes et que tu utilises les bon mots ça devrait passer, c'est mieux que si ils le découvrent par eux-mêmes.
EDIT : désolé pour les fautes d'orthographe sur mon 1er post, je ne peux pas le modifier car le sujet date du siteduzero, et que maintenant openclassrooms impose d'avoir un titre plus court pour pouvoir modifier mon post.
Citation : viki53
en profiter pour s'introduire et récupérer des infos (pas cool et illégal)
Je vois pas trop ce que je pourrai récupérer....la liste des membres qui ont abusé des ressources serveur?
Oui
Citation : viki53
Essaie donc de les contacter et vois ce qu'ils disent. Au pire tu n'auras qu'à changer d'hébergeur (un bon cette fois) !
P.S. : Si leur interface est mal traduite, il s'agit peut-être d'une sorte de CMS qu'ils ont installés sans se préoccuper du résultat...
Oui je pense que je vais faire ca...fin chez pas...j'ai un peut peur de leur réaction a vrai dire car je vais leur dire "j'ai trouvé des failles" mais je ne vais pas leur dire comment il pourraient les combler...
Pour la cms, je pense que ca dois être un truc du genre....J'ai remarqué la même interface(entièrement en anglais) chez un autre hébergeur gratuit. Chose étrange, ils sont tout les 2 sur les mêmes serveurs, en angleterre. Pire, leurs DNS montrent qu'ils sont tout les 2 des hébergeurs virtuels(des revendeurs quoi )hébergé par main-hosting.com, c'est a dire 24hosting.com....encore un hasard, le grand partenaire de 000webhost.com, leader dans l"hébergement gratuit
Ton hébergeur est bidon.
Cherches-en un autre de plus fiable.
Si tu arrives à accéder à des données plus ou moins importantes de l'hébergeur même, imagine que quelqu'un d'autres puissent arriver à modifier ton site et ta base de donnée ...
Ton hébergeur est bidon.
Cherches-en un autre de plus fiable.
Si tu arrives à accéder à des données plus ou moins importantes de l'hébergeur même, imagine que quelqu'un d'autres puissent arriver à modifier ton site et ta base de donnée ...
Oui mais enfait j'ai besoin d'un hébergeur gratuit m'offrant beaucoup d'espace disque, et supportant les crons...en gros mon "site" est enfait un serveur de backup(le site n'a pas d'adresse - j'ai pas acheté le nom de domaine correspondant... ), destiné uniquement a héberger un cron...ce cron récupère chaque jours des fichiers(des logs) sur des serveurs ftp(ceux de mes différents sites), les compressent, et tente de les envoyer sur mon ordinateur portable,sur lequel j'ai installé filezilla server. Si mon ordinateur portable est inaccessible(pc en veille/éteint, je suis pas chez moi, etc...), il les stoque temporairement sur le serveur et il essayera de l'envoyer le lendemain
tout ca parce que j'ai des logs monstrueux sur mes sites, et mes autres "vrai" hébergeurs m'imposent 50Mo de données max...alors...
j'ai essayé http://000webhost.com , mais il s'est avéré qu'ils bloquaient les transferts ftp en php au dela de 4mo de transfert...(voir ce forum ). Ensuite j'ai essayé http://1freehosting.com (qui est "l'autre hébergeur" dont je parlais plus haut )mais je n'ai pas été satisfait de leurs taches cron. Et enfin j'ai été chez mon hébergeur actuel
Si tu as plusieurs sites, pourquoi ne pas investir dans un vrai hébergement ?
Ou pourquoi ne pas t'installer ton propre serveur, chez toi ? Pour ce genre de besoin, un simple Raspberry Pi pourrait suffire...
parce que je suis mineur, je n'ai pas de carte bleue et je ne peux pas faire de virement. Et parce qu'un hébergeur gratuit me suffit
et parce que j'ai un débit ridiculeusement faible...chez moi je ne peux pas regarder de vidéos youtube en HD(et je suis chez bouygyes telecom ), je ne peux pas naviguer sur internet lorsque la télé est allumée...
Sinon, j'aurai déja opté pour cette option j'ai wamp sur mon ordi et je suis en ip fixe... alors...
Oui mais pour faire les bakcups, pas besoin d'une connexion puissante. Tu peux remplacer cet hébergeur troué par un mini-serveur maison à moindre coûts...
afin de préserver l'image de marque ce cet hébergeur(et d'éviter au site de se faire hacker par le premier venu qui aura vu ce forum ) j'ai remplacé le nom du site par [hébergeur]. J'ai également caché les infos sur la base de donnée "principale" de leur site, dont je parle, et mon email...
Edit : suite a la discussion dans le forum(voir plus bas ), j'ai décidé de balancer le nom de l'hébergeur : il s'agit d'hostinger.fr. quand au nom de la base de donnée, j'ai oublié de le flouter il apparais sur mes captures d'écran...elle s'apelle mainhost_data
Citation
[FR] Bonjour. J'ai trouvé une faille sur [hébergeur]
j'ai créé un cron sur [hébergeur]. dans ce cron j'utilise un gestionnaire d'erreur personnalisé( via set_error_handler() et error_reporting(-1) ). Ce gestionnaire d'erreur enregistre les éventuelles erreurs dans un fichier ("erreurs.txt") au lieu de les afficher.
Le cron s'est exécuté comme prévu. Sauf qu'a la fin j'ai obtenu ca : " Notification : "Undefined variable: c_ads", A la ligne numéro 5 Notification : "Undefined variable: c_ads_code", A la ligne numéro 6 " je n'utilise ni $c_ads, ni $c_ads_code dans mon cron.....
en bidouillant un peu, j'ai pu comprendre que l'erreur venais d'un fichier a l'adresse "/usr/lib/php/head.php", qui contenait un script php qui s'ajoutait systématiquement en début de fichier. (bien que cela n’apparaisse pas dans auto_append_file....)
J'ai tenté de regarder le fichier (avec un simple fopen('/usr/lib/php/head.php','r+').....). Encodé par ioncube, évidement.
Sauf que de nos jours, ioncube n’arrête plus personne, il est aussi simple a décoder que les fichiers en base64, ou presque.....
Pire, vous avez marqué en clair le mot de passe et le nom de votre base de donnée.(fin non pas exactement.....mais...quand je vois $main_hosting=__FILE__."-hosting.com"...et que je sais que [hébergeur] et hosting24.com/main-hosting.com ont un lien....c'est pas très compliqué de comprendre que __FILE__ ='main'....)
le pire, dans tout ça, c'est que vous ne vous êtes rendu compte...de rien
Donc svp est ce que vous pourriez : -marquer head.php dans la directive auto_append_file.... Comme ça, les développeurs sont au courant qu'il y a un fichier "head.php", via le phpinfo()..... -changer le nom et mot de passe de votre base de donnée, maintenant que je le connais....login:"[login]", mot de passe:"[mot de passe]", base de donnée :"[base de donnée]" :s -vous arranger pour que nos scripts dans public_html n'ai pas accès à head.php.....ceci vous évitera des problèmes à l'avenir(open_basedir?)
Voila......Je ne sais pas si vous étiez au courant mais en tout cas je voulais vous avertir. Affin d'éviter de me faire gronder par le staff j'aimerai simplement vous dire autre chose : J'ai découvert cette faille complètement par hasard, j'ai aucune intention "méchante" envers le site(sinon, je ne serai pas en train de vous envoyer ce message X) ).
J'avoue avoir essayé de bidouiller le site pour m'amuser, avoir trouvé cette faille par hasard et avoir regardé la base de donnée. Je n'ai pas été plus loin(....j'estime déjà avoir été beaucoup trop loin...), je n'ai rien modifié. De toute manière je pense que vous pouvez tout retrouver dans vos logs....j'ai une IP fixe et je ne me cache pas
mon email si besoin : [mon email] voila
[EN] Hello. I found a flaw in [hébergeur]
I created a cron on [hébergeur]. in this cron job I use a custom error handler (via set_error_handler() and error_reporting(-1) ). The error handler logs eventual errors to a file ("erreurs.txt") instead of display them.
Cron is executed as planned. Except that at the end I got ca: ' Notification : "Undefined variable: c_ads", A la ligne numéro 5 Notification : "Undefined variable: c_ads_code", A la ligne numéro 6 ' (i translate in english : Notice : Undefined variable: c_ads and c_ads_code at line 5 and 6)
I do not use $c_ads or $c_ads_code in my cron .....
After a little searching, I understand that the error came from a file address "/usr/lib/php/head.php" which contained a php script that is added automatically at the beginning of file . (Although this does not appear in auto_append_file....)
I tried to look at the file (with a simple fopen('/usr/lib/php/head.php','r+') .....). Encoded by ioncube, obviously.
Except that nowadays, ioncube person never stops, it is as simple as a decode base64 files, or almost .....
Worse, you have marked clearly the password and the name of your database. (no...not exactly...but when I see $main_hosting=__ FILE__."-hosting.com", and I know that [hébergeur] and hosting24.com/main-hosting.com have a link... it is not very complicated to understand that __ FILE__='main'....)
the worst part about it is that you did not realize ...nothing.
So please is what you could: -mark head.php in auto_append_file directive.... Like this, the developers are aware that there is a file "head.php", via the phpinfo() ..... -Change the name and password for your database, now I know all.... login:"[login]", password:"[mot de passe]", database:"[base de donnée]" :s -You arrange for our scripts in public_html have not access to head.php ..... this will avoid problems in the future (open_basedir?)
That is .... I don't not know if you were aware but in any case I wanted to warn you. Affin to avoid getting scolded by the staff I would like to just tell you something else: I discovered this break completely by chance, I have no intention "evil" to the site (otherwise I will not be going you send this message X)).
I admit I tried to hack the site for fun, I found this flaw by accident and have watched the database. I have not gone further (I think .... have already been too far ...), I have nothing changed. Anyway I think you can find everything in your logs .... I have a static IP and I do not hide
Par contre si le fichier est inclus au début, en fait c'est auto_prepend_file et si il n'est pas dans l'open_basedir il ne pourra pas être inclus au début.
Par contre si le fichier est inclus au début, en fait c'est auto_prepend_file et si il n'est pas dans l'open_basedir il ne pourra pas être inclus au début.
non justement....le phpinfo() est clair la dessus: pas d'inclusion via auto_append/prepend_file. et même de toute manière j'ai les lignes suivantes dans un .htaccess a la racine de mon espace disque.
php_value error_prepend_string none
php_value error_append_string none
#pour annuler le bandeau de pub affiché avant et apres chaque erreur
php_value auto_append_file none
php_value auto_prepend_file none
#pour annuler le script au début
#pour accepter l'inclusion d'url dans les require et include
php_flag allow_url_include on
#ne marche pas,mais j'arrive pas a savoir pourquoi
C'est étrange, je ne sais pas comment ils ont fait...Ils ont leur propre version d'apache, qu'ils ont eux même modifié et compilé peut être?
J'aimerai juste ne pas avoir d'erreurs stupides style "undefined variable" a cause de leur code dans mes crons. Après, a eux de se démerder pour trouver une solution...c'est a eux de C'est le rôle d'un hébergeur de sécuriser son espace d'hébergement quand même....
J'ai du nouveau voici 2 mails que je vient de recevoir:
(d'un email privé en yahoo.fr)
Citation
Merci d'utiliser notre service d'hébergement.
Très sincèrement, [hébergeur] France
(puis un email automatique de l'hébergeur
Citation
Bonjour, Il s'agit d'une notification pour vous faire savoir que nous changeons l'état de votre ticket #63375 à Fermé. ---------------------------------------------- ID Ticket: #63375 Département: Support Général Sujet: /!\faille sur [hébergeur]/break on [hebergeur] Statut: Fermé ---------------------------------------------- Si vous avez d'autres questions alors s'il vous plaît répondez simplement ou ré-ouvrir Ticket.
J'ai du nouveau
voici 2 mails que je vient de recevoir:
(d'un email privé en yahoo.fr)
Citation
Merci d'utiliser notre service d'hébergement.
Très sincèrement,
[héberguer] France
(puis un email automatique de l'hébergeur
Citation
Bonjour,
Il s'agit d'une notification pour vous faire savoir que nous changeons l'état de votre ticket #63375 à Fermé.
----------------------------------------------
ID Ticket: #63375
Département: Support Général
Sujet: /!\faille sur [hébergeur]/break on [hebergeur]
Statut: Fermé
----------------------------------------------
Si vous avez d'autres questions alors s'il vous plaît répondez simplement ou ré-ouvrir Ticket.
Euh ....
Ca ne fait pas très sérieux, de ne pas tenir compte de tes observations
Ils ne t'ont pas bloqué ton hébergement pour la découverte de la faille (m'enfin ça c'est normal), ils ont réagis vite et en plus ils ont sans doute corriger la faille (mais ça tu devrais re-tester pour voir si c'est vraiment le cas).
Pas très sympa ton hébergeur... Pour les rares fois ou la personne qui trouve la failler ne s’amuse pas a faire tout sauter... Un mail de remerciement pourrais être le minimum...
Ils ne t'ont pas bloqué ton hébergement pour la découverte de la faille (m'enfin ça c'est normal), ils ont réagis vite et en plus ils ont sans doute corriger la faille (mais ça tu devrais re-tester pour voir si c'est vraiment le cas).
Heu...pas très cool justement...
Ils ont pas bloqué mon hébergement(de toute manière j'ai prévu un éventuel coup comme ça...j'ai fait une sauvegarde complète de mon site, et j'ai la freewifi des voisins au cas ou, si j'ai besoin de changer d'ip...).
Ils ont mis...heu...une semaine a réagir? Enfin réagir=répondre a mon tiquet support....je sais que c'était les vacances, mais même je pense que les failles étaient sufisement critiques pour mettre une petite protection simple(désactivation complète des crons limite...c'est a cause une erreur php sur un cron que j'ai trouvé la faille, car $_SERVER['REMOTE_ADDR'] n'existe pas dans les crons...)
Actuellement, la faille sur les crons a été corrigée(il n'y a plus d'erreur php), mais le mot de passe principal de leur bdd n'a toujours pas été changé. Je vient de regarder leur bdd via mon iPod touch
Ils m'ont répondu (excusez moi du peu) comme un chien, d'une manière je me demande si c'est de l'ironie limite...
Perso je trouve ça juste inadmissible pour un hébergeur, je vais donc éditer tout mes posts pour balancer son nom en public, des que les failles auront été corrigés....je n'ai aucune envie de faire de la bonne pub pour eux...
Tu t'attendais à quoi, venant d'un "hébergeur pas tres clean" avec "forcément anguillle sous roche" et "pas très classe" ?
Maintenant tu sais pourquoi c'est gratuit.
Tu t'attendais à quoi, venant d'un "hébergeur pas tres clean" avec "forcément anguillle sous roche" et "pas très classe" ?
Maintenant tu sais pourquoi c'est gratuit.
000webhost est réputé pour être facile a hacker , en 3sec on peux avoir accès au ftp de n'importe quel site de 000webhost et le truc c'est que 000webhost c'est fait par Hostinger =)
Donc en gros c'est de la pure daube cet hebergeur!
En tout cas, tu as bien réagit : prévenir cordialement l’hébergeur ! Une erreur peut arriver à tout le monde, et on voit la qualité de l'hebergeur en fonction de sa réaction... En l'occurance tu peux fuire !
A default de pouvoir te payer ton propre hebergement, essaye celui la :
haha bof....non. je suis pas un "killer" non plus...j'ai des gens plus doués que moi dans ma classe
EnergieZ a écrit:
En tout cas, tu as bien réagit : prévenir cordialement l’hébergeur ! Une erreur peut arriver à tout le monde, et on voit la qualité de l'hebergeur en fonction de sa réaction... En l'occurance tu peux fuire !
+10
EnergieZ a écrit:
A default de pouvoir te payer ton propre hebergement, essaye celui la :
...et je suis actuellement chez un petit hébergeur gratuit(dont je tairais le nom car il est déjà plein a craquer et c'est pas la peine de lui ramener de nouveaux clients )
ps : ne vous étonnez pas trop si je répond en retard... ....j'ai mon BAC dans 5 jours et mes résultats d'écoles pour mes études supérieures dans....4h
EDIT-hors sujet : le verdict APB a parlé : je suis pris dans une école en région parisienne, qui répond au nom de l'EFREI pour l'info c'est l'école de laquelle sort actuellement un certain Mathieu Nebra, alias Mateo 21(ou Mate@21 pour les anciens du sdz), le fondateur du site du zéro rien que ca
YEAHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH
Je suis moi aussi chez Hostinger et je n'est pas trouvé de problème particulier ! Mise à part le serveur qui est indisponible de tant en tant et la page permanente de pub à chaque page du site pour cet hébergeur !
https://anthonypauwels.be/
https://anthonypauwels.be/
https://anthonypauwels.be/