Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1816 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [apache / PHP] la securite de mon linux est menacee

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[apache / PHP] la securite de mon linux est menacee

n°337598
bemixam
Linux vaincra !
Posté le 11-10-2003 à 14:58:20  profilanswer
 

bonjour,  
 
j ai une grosse faille de secu sur mon serveur web.
les utilisateurs peuvent faire des includes PHP des fichier de conf des autres.
 
rien de grave me direz vous ... il suffit d activer le safe_mode dans le php.ini
 
seulement voila, c est deja le cas et pourtant les includes sont toujours possibles.
 
quand je fais un phpinfo je vois bien la variable safe_mode a "On"
le safe_mode_gid est bien a "off" etant donne que les utilisateurs se trouvent tous dans le meme groupe, c est plutot conseille.
 
bref, je ne sais pas ce qui fait que apache ou php ne tienne pas compte de cette variable mais ca m inquiete.
 
y a t il un moyen de faire fonctionner ca correctement ?
 
d'avance merci.


Message édité par bemixam le 11-10-2003 à 17:30:39
mood
Publicité
Posté le 11-10-2003 à 14:58:20  profilanswer
 

n°337605
ipnoz
Sapé comme jamais !
Posté le 11-10-2003 à 15:04:15  profilanswer
 

quand tu a modifier ton fichier de conf , tu as bien redemarré apache j'espere :o

n°337610
udok
La racaille des barbus ©clémen
Posté le 11-10-2003 à 15:07:09  profilanswer
 

en fait php c'est pire que l'activeX de windows non ? [:cupra]


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
n°337612
bemixam
Linux vaincra !
Posté le 11-10-2003 à 15:08:13  profilanswer
 

oui oui bien sur ...
j ai fait des restart des stop && start .. des reload ... etc
 
j ai verifie que le fichier php.ini etait bien le bon.
que les autres modifs dans celui ci etaient bien prises en compte.
 
mais comme je disais quand je fait un phpinfo ( un truc qui liste toutes les variables de php/apache ) j ai bien le safe_mode a On
 
seulement voila il n est pas reelement effectif :-/
 
pourquoi ? :sweat:

n°337616
Tomate
Posté le 11-10-2003 à 15:15:20  profilanswer
 

Bemixam a écrit :

oui oui bien sur ...
j ai fait des restart des stop && start .. des reload ... etc
 
j ai verifie que le fichier php.ini etait bien le bon.
que les autres modifs dans celui ci etaient bien prises en compte.
 
mais comme je disais quand je fait un phpinfo ( un truc qui liste toutes les variables de php/apache ) j ai bien le safe_mode a On
 
seulement voila il n est pas reelement effectif :-/
 
pourquoi ? :sweat:  

comme te dis Jowile, le mode safe de php est limite un leur
 
j exagere mais bon :D
 
la solution n est pas ds le safe mode, fo patcher ou modifier les src ;)


---------------
:: Light is Right ::
n°337630
bemixam
Linux vaincra !
Posté le 11-10-2003 à 15:33:19  profilanswer
 

ce qui m embete c est qu avant ca marchait tres bien ...  
c est en fait depuis que j ai reinstalle mon serveur que ca a fait ca :-/
 
y a des patchs pour ca ?
 
edit : parceque franchement un serveur mutualise avec le safe_mode
 qui n est pas pris en compte ca craint  :sweat:


Message édité par bemixam le 11-10-2003 à 15:35:08
n°337632
Tomate
Posté le 11-10-2003 à 15:34:03  profilanswer
 

Bemixam a écrit :

ce qui m embete c est qu avant ca marchait tres bien ... c est en fait depuis que j ai reinstalle mon serveur que ca a fait ca :-/
 
y a des patchs pour ca ?
 

bah ca depend c koi ton truc en php ?


---------------
:: Light is Right ::
n°337639
bemixam
Linux vaincra !
Posté le 11-10-2003 à 15:36:29  profilanswer
 

je fais de l'hebergement .... alors forcement vous comprendrez pourquoi ca commence a me gaver ces histoires de safe_mode pas pris en compte.
 
le code php je m en fou, c est pas le mien.
 
je veux juste betonner le apache/php que les users ne puissent pas se chourrer les mots de passe mysql et autre.

n°337640
Tomate
Posté le 11-10-2003 à 15:37:13  profilanswer
 

Bemixam a écrit :

je fais de l'hebergement .... alors forcement vous comprendrez pourquoi ca commence a me gaver ces histoires de safe_mode pas pris en compte.
 
le code php je m en fou, c est pas le mien.
 
je veux juste betonner le apache/php que les users ne puissent pas se chourrer les mots de passe mysql et autre.

bah justement le pb vient du code, pas de apache ;)


---------------
:: Light is Right ::
n°337646
bemixam
Linux vaincra !
Posté le 11-10-2003 à 15:41:53  profilanswer
 

tomate77 a écrit :

bah justement le pb vient du code, pas de apache ;)


 
on est d accord seulement je ne vais pas m amuser a eplucher le code de chaque site pour verifier qu il ne fait pas des includes a la sauvage :-/
 
surtout que le but c est aussi d empecher un utilisateur de pomper le code / les mots de passe d un autre.
 
 :( je suis dans la merde la

mood
Publicité
Posté le 11-10-2003 à 15:41:53  profilanswer
 

n°337654
Tomate
Posté le 11-10-2003 à 15:52:21  profilanswer
 

Bemixam a écrit :


 
on est d accord seulement je ne vais pas m amuser a eplucher le code de chaque site pour verifier qu il ne fait pas des includes a la sauvage :-/
 
surtout que le but c est aussi d empecher un utilisateur de pomper le code / les mots de passe d un autre.
 
 :( je suis dans la merde la  

bah je sais pas mais bon c est pa ston pb si le gars sait pas coder son site aussi [:spamafote]
 
si les hebergeurs etaient responsable de chaque site, ils auraient pas fini :lol:


---------------
:: Light is Right ::
n°337692
Tomate
Posté le 11-10-2003 à 16:09:45  profilanswer
 

JoWiLe a écrit :

fait un script perl qui parses les scripts php et qui vérifie ce qui se passe ;)

ki verifie koi ?? [:wam]
 
car les src sont pas a lui donc il est pas sense savoir ce k il y a dedans [:mrbrelle]


---------------
:: Light is Right ::
n°337749
bemixam
Linux vaincra !
Posté le 11-10-2003 à 17:23:04  profilanswer
 

non ce qui m embete c est pas le type qui code mal.
 
c'est plus le type qui volontairement a mis une page ou un bidule en php pour aller fouiller dans les comptes des autres.
 
un phpmyexplorer est si vite uploade :/
 
et alors apres il peut aller dans n importe quel compte comme il veux ... sans parler des fichiers systemes ( meme si tout ce qui est critique a des droits severe )
 
je ne peux pas vraiment verifier/surveiller leur code parceque ca voudrait dire parser tres regulierement tous les comptes ( car l upload + manip + effcacement des traces peut se faire en 1 quart d'heure meme pas )
et ca n est donc pas possible :(
 
je pense qu a part avec un safe_mode de php fonctionnel il n y a pas grand chose qui resoudra ce probleme.
( a moin que qqun ai une idee de genie )
 

n°337813
Tomate
Posté le 11-10-2003 à 19:07:53  profilanswer
 

JoWiLe a écrit :


 
 
bah si c'est lui qui fait du hosting à priori il est root sur la bécane

[:mrbrelle]


---------------
:: Light is Right ::
n°337820
bemixam
Linux vaincra !
Posté le 11-10-2003 à 19:20:12  profilanswer
 

a la base oui je suis root sur la becane ... mais je ne suis pas la pour surveiller les gens ( j'ai surtout pas que ca a faire lol )
 
et je suis plutot contre le flicage a tout prix 9enfin bon la je m egare )
 
pour en revenir a mon probleme, j'ai reussit a activer ( et a faire fonctionner !!! ) le safe_mode.
 
j'ai simplement compile la version 4.3.3 de php pour remplacer la 4.3.2
et depuis ca tourne niquel.
voila pour l info si ca arrive aussi a qqun d autre.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [apache / PHP] la securite de mon linux est menacee

 

Sujets relatifs
installation d'une clé usb sous linux mandrake 9.1Apache : Thread qui moulinent
Linux et Windows...question de partitionnement!sym53c896 sous linux 2.4.22
NTFS --> partition linux[WINDOWS] Compiler un C+GTK Linux => exécutable Windows ?
Nouveau sur Linux - besoin d'infos[Apache] Configurer tous les sous-domaines vers un seul site
DualView sous Linux ? (RedHat 9 / Fedora Core 2)nouveau on linux :) pb mplayer
Plus de sujets relatifs à : [apache / PHP] la securite de mon linux est menacee


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR