Bonjour,
www.faqoe.com ,
www.copef.org ,
www.petiteceinture.org ,
....
mal barré pour une remise en ordre rapide en ce long weekend.
A+

--
Erwann
Supprimez les z dans mon adresse pour me répondre
------------------
Webmaster de :
- Photos et vidéos ferroviaires
http://erwann.jouan.free.fr/
- ADEMAS - Association D'Exploitation du MAtériel Sprague
http://ademas.assoc.free.fr/

Erwann a écrit :
> mal barré pour une remise en ordre rapide en ce long weekend.

Oulah, et c'est Jean Kevin qui a récupéré un script ma parole.
(j'aime bien les GIF animées et le texte à la w4Rl0RdZ)

Erwann wrote:
> mal barré pour une remise en ordre rapide en ce long weekend.

C'est toujours les WE de fête que ça se produit, parce qu'ils savent que ça
va rester en place plusieurs jours ;-)

Christophe Baegert wrote:
>> mal barré pour une remise en ordre rapide en ce long weekend.
>
> C'est toujours les WE de fête que ça se produit, parce qu'ils
> savent que ça va rester en place plusieurs jours ;-)

ils ont modifié tous les fichiers dont le nom contient ou commence par index
dans toute l'arborescence cela vers 2h du mat sur tous les sites mutualisés
chez sivit (j'ai remis en circuit un site ce matin vers 10h en uploadant
tous mes index.php)
par contre j'ai mailé sivit mais toujours pas de réponse
leur forum est aussi touché
http://forum.sivit.fr

ceux qui font ça ont-ils accès aux noms d'utilisateurs/mots de passe des
sites, peuvent-ils voir le contenu des fichiers même lorsqu'il y a un
htaccess qui en interdit l'accès ?

<davon> wrote:
> ils ont modifié tous les fichiers dont le nom contient ou commence par
> index dans toute l'arborescence cela vers 2h du mat sur tous les sites
> mutualisés

PHP qui tourne sous nobody ça non ?

Christophe Baegert wrote:
>> ils ont modifié tous les fichiers dont le nom contient ou commence
>> par index dans toute l'arborescence cela vers 2h du mat sur tous
>> les sites mutualisés
>
> PHP qui tourne sous nobody ça non ?

ça veut dire ?

On Sun, 08 Apr 2007 12:07:48 +0200, Christophe Baegert
<cbaegert-pas-de-spam@lixium.fr> wrote:

>PHP qui tourne sous nobody ça non ?

A ce propos (je suis totalement incompétente en hébergement)...
Il y a des boîtes qui, contractuellement, assurent un niveau minimum
de sécurité ? Je veux dire par là l'assurance que les patches
concernant les vulnérabilités connues seront effectués en temps et
heure, et qu'il n'y aura pas d'erreurs de configuration grossières ?
Y a des exemples de clients qui auraient porté plainte et eu gain de
cause ?
--
Nina

<davon> wrote:
> ça veut dire ?

Si le PHP tourne sous un utilisateur commun pour tous les sites, pirater un
site revient à avoir les droits sur tous les autres. Il y a pas mal de
protections supplémentaires intégrées dans PHP (open_basedir, safe_mode),
mais elles ne sont pas parfaitement implémentées, elles ne sont pas
toujours activées, et elles ne sont pas suffisantes en elle-même. Le mieux
est de combiner les 3 protections (PHP avec un utilisateur par site,
open_basedir et safe_mode). On peut encore se faire pirater son site, mais
uniquement si on a soi même installé une appli non sécurisée ou si le
serveur s'est fait pirater, pas si un autre site s'est fait pirater sur le
même serveur.

Nina Popravka sur fr.reseaux.internet.hebergement le dimanche 08 avril 2007
13:00

> et qu'il n'y aura pas d'erreurs de configuration grossières ?

Voyez par vous-même
http://www.sivit.fr/info.php

On dirait une installation banale à base de paquets un peu anciens. En effet
pas de safe_mod.

On Sun, 08 Apr 2007 15:01:44 +0200, steeve <steeve795@yahoo.co.uk>
wrote:

>Voyez par vous-même
>http://www.sivit.fr/info.php
>On dirait une installation banale à base de paquets un peu anciens. En effet
>pas de safe_mod.

:-)
Que je puisse voir ou ne pas voir n'est pas le problème, je suis
professionnelle, mais pas de ce domaine précis, ça ne m'intéresse pas.
J'en sais donc ce qu'on m'en dit, et on m'en dit que c'est *mal*.
Mais *on* est intégriste, donc pour lui presque tout est *mal* ;->
Et ma question, qui n'était absolument pas trollesque, n'était pas de
savoir si l'hébergeur faisait tout *bien*, mais si au moins
contractuellement il pouvait se targuer de .. *best practices" on va
dire... Ce qui est un bon début.
--
Nina

Nina Popravka a écrit :
> On Sun, 08 Apr 2007 12:07:48 +0200, Christophe Baegert
> <cbaegert-pas-de-spam@lixium.fr> wrote:
>
>
>>PHP qui tourne sous nobody ça non ?
>
>
> A ce propos (je suis totalement incompétente en hébergement)...
> Il y a des boîtes qui, contractuellement, assurent un niveau minimum
> de sécurité ? Je veux dire par là l'assurance que les patches
> concernant les vulnérabilités connues seront effectués en temps et
> heure, et qu'il n'y aura pas d'erreurs de configuration grossières ?
> Y a des exemples de clients qui auraient porté plainte et eu gain de
> cause ?

Probablement pas en mutualisé, vu que les problemes de sécurité de ces
plateformes viennent, pour 99%, de ce que les clients ont eux-meme installé.

Après, sur les dédiés infogérés, moyennant l'interdiction pour le client
d'uploader lui meme ses contenus (dynamiques, principalement), il y'a
des boites qui peuvent garantir ca, oui.

On Sun, 08 Apr 2007 22:21:39 +0200, Spyou <root@spyou.org> wrote:

>Probablement pas en mutualisé, vu que les problemes de sécurité de ces
>plateformes viennent, pour 99%, de ce que les clients ont eux-meme installé.
>Après, sur les dédiés infogérés, moyennant l'interdiction pour le client
>d'uploader lui meme ses contenus (dynamiques, principalement), il y'a
>des boites qui peuvent garantir ca, oui.

Ca semble logique, merci :-)
--
Nina