Multi-ftp d'ovh = faille de sécurité?

Discussion dans 'URL Rewriting et .htaccess' créé par AniMo, 15 Janvier 2008.

Tags:
  1. AniMo
    AniMo Nouveau WRInaute
    Inscrit:
    9 Octobre 2006
    Messages:
    8
    J'aime reçus:
    0
    Tout d'abord bonjour à tous,

    j'ai un soucis avec mon hébergement chez ovh (mutualisé 720plan) :
    - l'option multi-ftp d'ovh permet de donner à un utilisateur un accès ftp limité à un des dossier du site.
    J'ai donc donné à l'utilisateur "toto" un accès ftp uniquement à /home/www/monsite1 (pour que toto ne puisse pas voir mes autres sites dans /www.)

    Hiers je me rends compte que toto a mis dans le dossier auquel il a accès un script php qui lui permet de voir tous les dossiers du répertoire /www, les télécharger, les écraser, les modifier en ligne, les effacer ...

    Le pire c'est que ce script (extplorer) est installable en un clic via le cms Joomla, qu'il a donné l'accès à l'administration de joomla et donc à ce script à plusieurs autres personnes qui peuvent donc se promener librement dans mon www, regarder les fichiers de configs de mes autres site, voir mes maquettes en cours, etc etc.

    J'ai contacté le support, voici la réponse:
    d'où mon post ici. y a -t-il vraiment moyen de bloquer l'accès de php aux répertoires de plus haut niveau avec un htaccess?
    (j'ai essayé toute la nuit, comme je ne suis pas un gourou du htaccess j'aimerais avoir votre avis sur la question avant de continuer :p )

    Merci
     
  2. Yusuke
    Yusuke WRInaute discret
    Inscrit:
    8 Août 2005
    Messages:
    207
    J'aime reçus:
    0
    le support est à la masse ce n'est pas avec un htaccess que tu vas les empecher de se balader en php (sauf erreur)

    ce qui est effectivement un trou de sécu pour toi, est un avantage pour moi : je gère aussi un xxlplan chez ovh, et le fait qu'on puisse se balader en php dans tous les repertoires, y compris ceux en amont, est très interessant pour moi, je l'utilise comme base de mon dev.

    OVh a déjà répondu qu'ils étaient au courant, et que c'était ainsi et pas autrement.

    En fait, ton hébergement OVh a un user, et tous les utilisateurs de ton hebrgement exécutent les scripts sous ce même user : créer un user FTP ne te crée pas un user PHP, c'est pour ça qu'il peut se "balader" en dehors de son repertoire d'accueil et écraser d'autres fichiers : pour le système, lui c'est toi, vous avez les même droits d'execution.

    En gros, le multi-ftp OVH, j'ai jamais bien compris l'interet, sauf si t'as 100% confiance dans tes utilisateurs FTP.

    Mais il y a tellement d'autres trucs trop fort en mutu que je les quitterai pour rien au monde :)
     
  3. webmasterlamogere
    webmasterlamogere WRInaute passionné
    Inscrit:
    17 Décembre 2006
    Messages:
    1 654
    J'aime reçus:
    1
    ne peux tu pas créer un sous répertoire bloqué par un .htaccess à la racine ou alors un répertoire qui n'est pas accessible sur internet. comme ca impossible d'installer un script et de l'exécuter ensuite.
     
  4. AniMo
    AniMo Nouveau WRInaute
    Inscrit:
    9 Octobre 2006
    Messages:
    8
    J'aime reçus:
    0
    C'est un peu ce que je craignais. Et c'est gravissime.
    Si j'ai confiance dans mes users ftp, autant leur filer le même password que moi pour tout le ftp. Si je les limite à un dossier c'est que je ne veut pas qu'ils aillent ailleurs.
    Donc leur multi-ftp est une faille en soit. ça donne l'impression de faire une chose que ça ne fait pas réellement.
    ça fait 3 mois que n'importe quel admin d'un sous-site peut me jeter à la poubelle tous mes sites sans faire exprès. Si ça c'est pas une faille...

    Bref pour colmater en attendant de changer d'hébergeur (parce que là c'est vraiment du grand n'importe quoi) est-ce qu'il y a une règle de rewriting que je peux utiliser pour interdire les requêtes liées à extplorer?

    j'ai essayé pleins de trucs mais l'url est compliquée,
    http://www.site.com/sousdossier/index2. ... me&srt=yes

    comment je peux récupérer 2 morceaux de cette url en même temps (en l'occurence uniquement "extplorer" "&dir=dossier" ou "&dir=autre_dossier_interdit" ) et renvoyer vers une erreur ou autre?
    C'est ce que j'essaie depuis hiers et j'y arrive pas (en sachant que cette règle est forcément un dossier au dessus du dossier du site)
     
  5. webmasterlamogere
    webmasterlamogere WRInaute passionné
    Inscrit:
    17 Décembre 2006
    Messages:
    1 654
    J'aime reçus:
    1
    avec un truc du style :
     
  6. AniMo
    AniMo Nouveau WRInaute
    Inscrit:
    9 Octobre 2006
    Messages:
    8
    J'aime reçus:
    0
    L'intérêt c'est qu'il puisse qd meme administrer un site fait en php. sans sortir de son dossier.

    la racine effectue déjà une redirection vers un sous-répertoire
    Code:
    RewriteCond %{HTTP_HOST} (www.)?site.com$
    RewriteRule /?(.*) http://www.site.com/repertoire/$1 [R=301,L]
    si je rajoute un
    Code:
    order allow, deny
    deny from all
    à la racine et que je mette dans le répertoire du site
    Code:
    allow from all
    ça me donne une erreur 500
    si je bloque le répertoire à la racine, la redirection se fera -t-elle?
     
  7. webmasterlamogere
    webmasterlamogere WRInaute passionné
    Inscrit:
    17 Décembre 2006
    Messages:
    1 654
    J'aime reçus:
    1
    si le répertoire accessible par ftp doit aussi être accessible par -http:// rien ne pourras empecher l'installation d'un script php malveillant.
    il n'y a donc pas 36 solutions :
    - donner l'accès ftp à des personnes de confiance
    - donner un accès ftp sur un répertoire qui n'est accessible que par ftp et qui ne permet pas d'exécuter un script : un script a toi déplace les fichiers après contrôle par exemple.
     
  8. AniMo
    AniMo Nouveau WRInaute
    Inscrit:
    9 Octobre 2006
    Messages:
    8
    J'aime reçus:
    0
    ça marche pas. voila ce que j'ai écrit dans le htaccess au dessus du site. (dedans toto y a accès)
    Code:
    SetEnv PHP_VER 5
    Options -indexes
    #
    RewriteEngine on
    RewriteCond %{HTTP_HOST} (www.)?site.com$
    RewriteRule /?(.*) http://www.site.com/sous_dossier/$1 [R=301,L]
    RewriteCond %{QUERY_STRING} option=com_extplorer
    RewriteCond %{QUERY_STRING} dir=dossier
    RewriteRule index2\.php / [R=301]
    si vous voyez un problème...

    Merci pour l'aide! :)
     
  9. AniMo
    AniMo Nouveau WRInaute
    Inscrit:
    9 Octobre 2006
    Messages:
    8
    J'aime reçus:
    0
    nos messages arrêtes pas de se croiser, merci beaucoup pour cette réactivité!
    donc rien à faire?

    j'attends une réponse différente du support, s'il n'y a rien j'alerterais leur service commercial. le service multi-ftp proposé est au mieux inefficace, au pire dangereux.
     
  10. webmasterlamogere
    webmasterlamogere WRInaute passionné
    Inscrit:
    17 Décembre 2006
    Messages:
    1 654
    J'aime reçus:
    1
    la solution htaccess est bidon car il seras toujours possible de renommer le script ou d'en ajouter un autre.

    le systeme de multi site simplifie beaucoup la gestion si c'est la même personne qui gère toutes les domaines et sous domaines. Je reconnais que dans ton cas c'est un inconvénient mais je ne pense pas qu'il a été concu dans ce but.
     
  11. Serious
    Serious WRInaute passionné
    Inscrit:
    21 Novembre 2005
    Messages:
    1 843
    J'aime reçus:
    0
    Disons qu'il permet de savoir qui a detruit quoi :cry: :roll:
     
  12. Yusuke
    Yusuke WRInaute discret
    Inscrit:
    8 Août 2005
    Messages:
    207
    J'aime reçus:
    0
    le multi est efficace et safe, si on sait à quoi l'utiliser.
    Moi je l'utilise pour faire déposer à mes clients des fichiers vidéos pour leur hébergement en zone hors-http, et un script dans leur Admin check en un clic si c'est bien une vidéo, et le déplace en zone http.

    Si tu veux faire de l'hébergement pro avec accès FTP à tes clients, utilise un serveur (19 euros chez ovh...), pas un hébergement mutualisé.
     
  13. AniMo
    AniMo Nouveau WRInaute
    Inscrit:
    9 Octobre 2006
    Messages:
    8
    J'aime reçus:
    0
    Oui, jusqu'à présent j'étais un utilisateur heureux des services d'ovh. C'est moi qui gère les sites, sous-sites, sous-domaines et multi-domaines. Les serveurs d'ovh fonctionnent bien, pas de soucis majeurs ou même de coupures depuis bien longtemps; tout est stable et fonctionnel. Mais j'imaginais pas que le multi-ftp serait à ce point défaillant; pour rappel voici la doc d'ovh à propos du multi-ftp (source: http://guides.ovh.com/MultiFtp )

    Voila, la seule limite dont ils parlent c'est les quotas...
    Je me demande s'ils se rendent vraiment compte du problème. Sur la doc on dirait pas.
     
  14. Yusuke
    Yusuke WRInaute discret
    Inscrit:
    8 Août 2005
    Messages:
    207
    J'aime reçus:
    0
    je vois pas où il est dit que le but est de donner des accès FTP à différentes personnes...

    Si tu veux etre hébergeur pro avec accès FTP à tes clients, la seule solution est le server dédié, ou un mutualisé par client.
    12 euros par an pour 600 mo...
     
  15. AniMo
    AniMo Nouveau WRInaute
    Inscrit:
    9 Octobre 2006
    Messages:
    8
    J'aime reçus:
    0
    - Quoi, créer un accès ftp par site c'est... pour soi-même?
    - Et quand ils parlent d'"amis", c'est pour dire que ça ne peut être que des gens de confiance?
    hum...J'avais pas vu du tout ce texte comme ça.
    D'ailleurs mes amis ont autre chose à faire que de gérer mes sites!

    Bref, l'hébergement pro ça me dit pas grand chose, même si je m'amuse de temps à autre avec un serveur ubuntu j'ai pas envie de me prendre la tête donc si vraiment rien n'est faisable de leur côté, je prendrais un hébergement spécifique pour ce site et je mettrais les autres ailleurs.

    Merci à tous
     
  16. Yusuke
    Yusuke WRInaute discret
    Inscrit:
    8 Août 2005
    Messages:
    207
    J'aime reçus:
    0
    au début, quand j'étais jeune lol, j'ai eu le cas.
    j'avais une trentaine de clients sans accès ftp hébergés sur un mediaplan, et un jour, un de mes client me demande s'il peut avoir accès ftp.

    1/ je me suis renseigné avant, et j'ai vu que non ;)
    2/ je lui ai pris un tit hébergement mutu rien que pour lui, ça m'a couté 50 euros refacturé 150.

    Coût total de l'opération : 2h
     
  17. AniMo
    AniMo Nouveau WRInaute
    Inscrit:
    9 Octobre 2006
    Messages:
    8
    J'aime reçus:
    0
    Tu triches, quand t'étais jeune c'était pas possible, l'option multi-ftp n'existait pas. Elle a un an à tout casser ;)
     
  18. Yusuke
    Yusuke WRInaute discret
    Inscrit:
    8 Août 2005
    Messages:
    207
    J'aime reçus:
    0
    je dirais au moins 2 ans

    et j'ai pas dit que j'étais si vieux :D
     
Chargement...
Similar Threads - Multi ftp ovh Forum Date
Multiples problèmes sur GA Google Analytics 28 Septembre 2021
Redirection multiple de (sans www) vers (www) URL Rewriting et .htaccess 13 Août 2021
Gestion Canonical et Hreflang sur une home page multilangue Référencement international (langues, pays) 11 Août 2021
WordPress Problème sitemap site multilingue Crawl et indexation Google, sitemaps 26 Juillet 2021
Entonnoir multicanal : question Google Analytics 3 Juin 2021
multilingue et mêmes keywords Référencement international (langues, pays) 11 Février 2021
Multi-sites Référencement international (langues, pays) 20 Janvier 2021
Site multilingue : quel choix à faire? Référencement international (langues, pays) 18 Janvier 2021
Multi-domaine avec ndd. ancien, comment faire? Noms de domaine et référencement 30 Novembre 2020
Page multilingue prestashop Référencement international (langues, pays) 17 Novembre 2020