Je suis chez un hébergeur (je vais pas faire de mauvaise pub). Qui est en suisse à genéve.
Il y a 10 mon site je vois disparaître toute les index.php, j'écrie un mail aux admins et je reçois cela  
 

 
LOL talents et compétences ... hier vers midi Poof plus de site et la un autre mail hm
 

 
Toujours se petit talent rajajeur . J'écrie un mais en disant mon mécontentement
 

 
et là le choc mondial  
 

 
c peut etre moi qui et fais un chose mauvaise ...mais c pas moi qui à une faille sa veux dire que tout le monde peut voire son voisin en piratant le site ?

 
ben vire les fichiers sensibles genre : install.php pour commencer, ca se trouve ils ont raisons  c p t etre toi kil ouvre les portes aux hackerZ  

lol il remonte dans le serveur à la source tu comprends pas les install.*

 
T es sur ? dans ce cas pourquoi ils t ecrivent a toi ? Ils devraient ecrire a tous leurs abonnées nan ?  

c une application sur mon sitre qui fait que ont peut les pirater

bon bon ok j'ai peu etre 2/3 truc mal codé mais avec cette faille que je cherche encore ont peut remonter au serveur et accédé à tout les sites et les comptes du meme serveur.C'est quand meme un comblede mettre un password et un login alors :-)

 
Comme te le redit pokk et comme je te l'ai deja dit, c'est sans doute toi la cause ... tu dois avoir du php mal codé qui laisse ces failles. Ton serveur n'est absolument pas responsable du codage de ton PHP qui te laisserait te pirater. Donc en gros recode ton PHP et ton serveur n'est pas du tout en cause, au contraire c'est plutot sympa de leur part de te prevenir, c'est pas du a tout le monde, surtout a plusieurs reprises ...  
 
En gros leur slogan fonctionne et leur phylosophie suit, c'est preuve d'efficacité, j'apprecierais a ta place.
 
A toi de revoir ton codage et de virer les failles. ciao

Si ca peut interesser quelqu'un, et en particulier ton hebergeur...
 
http://www.hsc.fr/ressources/prese [...] te-php.pdf

Je suis désolé, mais même avec un script mal écrit, si il y a une escalade de privilèges, c'est l'hébergeur qui est fautif, car il a mal configuré son serveur, faut pas déconner quand même !

C'est ce que jne pense aussi. On ne doit pas pouvoir remnter jusqu'au / ...

 
Ah ouais ? Mais dans pas mal de scripts ils mettent les conditions pour securiser ... je penser pas que ca allait juska l hebergeur ... ben si t es sur de l info alors ok  

 
Ouais moi j'reste plus convaincu par ca, sinon les hebergeur aurait trop de choses a gerer : c'est un peu comme si tu overclockes ton proc, tu le crames et tu disais que le fabriquant de ta CM est bidon et fautif ... (pour rester dans le theme informatique   )

 
Voilà oui...  

Je suis désolé, mais un serveur bien installé avec les droits corrects ne doit en aucun cas, même en cas de scripts "légers" question sécurité permettre de remonter dans l'arborescence et permettre de tout effacer (tous les sites) sans le moindre contrôle. A bon entendeur ...

Non mais c'est dingue de lire des réactions pareilles !
 
Imaginez deux secondes : vous rentrez dans un cyber, vous vous installez à un poste, et vous vous aperçevez que vous pouvez télécharger et installer des pgs. Content de vous, vous allez faire un tour sur jenaiuneplusgrossequetoi.com et téléchargez le dernier dialer à la mode. Manque de bol, il s'agit d'un troyen, et le poste est piraté 15 heures après votre passage sur le poste.
 
A qui la faute : l'utilisateur imprudent, ou l'administrateur infoutu de poser une politique de droits correcte ?  
 
Si un administrateur, ou le responsable de la machine, ne fait pas son  boulot, il en découle des failles (supplémentaires), c'est tout ...

 
Non, ton exemple est pourri.
 
Ce que tu compares reviendrait à comparer un mec qui a un hébergement HTML uniquement par lequel un mec rentrerait. Là clairement, c'est l'admin du serveur qui est en cause.
 
Mais dans le cas de PHP, c'est tout différent, car PHP comporte des failles et une mauvaise programmation entraine de TRES grosses failles.
 
D'ailleurs sur prog, on passe notre temps à expliquer comment sécuriser un minimum son site.
 
De plus, je n'ai pas lu dans le sujet que le hackeur ait réussi à aller jusqu'au /
 
C'est pas dit du tout.

et une mauvaise config de php.ini ?

 
Oui, à ce moment là, c'est l'hébergeur, je ne dis pas que ça vient TOUJOURS des clients, mais que ça PEUT venir d'eux aussi.

Dans le cas présent je suspecte l'hébergeur de vouloir cacher des trucs, ils n'ont qu'à regarder leurs logs pour voir de quels script il s'agit !
Comment ça ils ont pas de logs ? Je croyais que c'était un hébergeur sérieux !

Justement : les principales failles de PHP (et de Apache) proviennent d'abord d'une mis-configuration de ces logiciels serveurs. Point barre !

Lis cela au fait :
 

 
Et toi relis le sujet. Il est fait mention NULLE PART que le hackeur a réussi à remonter les reps.  

il as reussi à remonter les reps :-) je tranche

voilà, donc l'administrateur aux chiottes !

Et voila fallait que l'on te le redise fort et clair alors que cela avait déjà sous-entendu ...

Ce qui m'étonne, c'est que nulle part ils n'indiquent le script incriminé (selon eux).

C'edst probablement qu'ils ne peuvent pas fornir de preuve que c'est tel ou tel script qui est la cause (supposée) du truc. Donc qu'ils sont responsables de facto de la mis-configuration du serveur ...