multi-ftp d'ovh = faille de sécurité?

[AniMo]

Tout d'abord bonjour à tous,

j'ai un soucis avec mon hébergement chez ovh (mutualisé 720plan) :
- l'option multi-ftp d'ovh permet de donner à un utilisateur un accès ftp limité à un des dossier du site.
J'ai donc donné à l'utilisateur "toto" un accès ftp uniquement à /home/www/monsite1 (pour que toto ne puisse pas voir mes autres sites dans /www.)

Hiers je me rends compte que toto a mis dans le dossier auquel il a accès un script php qui lui permet de voir tous les dossiers du répertoire /www, les télécharger, les écraser, les modifier en ligne, les effacer ...

Le pire c'est que ce script (extplorer) est installable en un clic via le cms Joomla, qu'il a donné l'accès à l'administration de joomla et donc à ce script à plusieurs autres personnes qui peuvent donc se promener librement dans mon www, regarder les fichiers de configs de mes autres site, voir mes maquettes en cours, etc etc.

J'ai contacté le support, voici la réponse:

Essayez d'en bloquer l'accés via un fichier .htaccess:
http://guide.ovh.net/HtaccessAutre
Merci.

d'où mon post ici. y a -t-il vraiment moyen de bloquer l'accès de php aux répertoires de plus haut niveau avec un htaccess?
(j'ai essayé toute la nuit, comme je ne suis pas un gourou du htaccess j'aimerais avoir votre avis sur la question avant de continuer :p )

Merci

[Yusuke]

le support est à la masse ce n'est pas avec un htaccess que tu vas les empecher de se balader en php (sauf erreur)

ce qui est effectivement un trou de sécu pour toi, est un avantage pour moi : je gère aussi un xxlplan chez ovh, et le fait qu'on puisse se balader en php dans tous les repertoires, y compris ceux en amont, est très interessant pour moi, je l'utilise comme base de mon dev.

OVh a déjà répondu qu'ils étaient au courant, et que c'était ainsi et pas autrement.

En fait, ton hébergement OVh a un user, et tous les utilisateurs de ton hebrgement exécutent les scripts sous ce même user : créer un user FTP ne te crée pas un user PHP, c'est pour ça qu'il peut se "balader" en dehors de son repertoire d'accueil et écraser d'autres fichiers : pour le système, lui c'est toi, vous avez les même droits d'execution.

En gros, le multi-ftp OVH, j'ai jamais bien compris l'interet, sauf si t'as 100% confiance dans tes utilisateurs FTP.

Mais il y a tellement d'autres trucs trop fort en mutu que je les quitterai pour rien au monde

[webmasterlamogere]

ne peux tu pas créer un sous répertoire bloqué par un .htaccess à la racine ou alors un répertoire qui n'est pas accessible sur internet. comme ca impossible d'installer un script et de l'exécuter ensuite.

[AniMo]

C'est un peu ce que je craignais. Et c'est gravissime.
Si j'ai confiance dans mes users ftp, autant leur filer le même password que moi pour tout le ftp. Si je les limite à un dossier c'est que je ne veut pas qu'ils aillent ailleurs.
Donc leur multi-ftp est une faille en soit. ça donne l'impression de faire une chose que ça ne fait pas réellement.
ça fait 3 mois que n'importe quel admin d'un sous-site peut me jeter à la poubelle tous mes sites sans faire exprès. Si ça c'est pas une faille...

Bref pour colmater en attendant de changer d'hébergeur (parce que là c'est vraiment du grand n'importe quoi) est-ce qu'il y a une règle de rewriting que je peux utiliser pour interdire les requêtes liées à extplorer?

j'ai essayé pleins de trucs mais l'url est compliquée,
http://www.site.com/sousdossier/index2. ... me&srt=yes

comment je peux récupérer 2 morceaux de cette url en même temps (en l'occurence uniquement "extplorer" "&dir=dossier" ou "&dir=autre_dossier_interdit" ) et renvoyer vers une erreur ou autre?
C'est ce que j'essaie depuis hiers et j'y arrive pas (en sachant que cette règle est forcément un dossier au dessus du dossier du site)

[webmasterlamogere]

avec un truc du style :

RewriteCond %{QUERY_STRING} option=com_extplorer
RewriteCond %{QUERY_STRING} dir=dossier
RewriteRule index2\.php / [R=301]

[AniMo]

ne peux tu pas créer un sous répertoire bloqué par un .htaccess à la racine ou alors un répertoire qui n'est pas accessible sur internet. comme ca impossible d'installer un script et de l'exécuter ensuite.

L'intérêt c'est qu'il puisse qd meme administrer un site fait en php. sans sortir de son dossier.

la racine effectue déjà une redirection vers un sous-répertoire

Code: Tout sélectionner

RewriteCond %{HTTP_HOST} (www.)?site.com$
RewriteRule /?(.*) http://www.site.com/repertoire/$1 [R=301,L]

si je rajoute un

Code: Tout sélectionner

order allow, deny
deny from all

à la racine et que je mette dans le répertoire du site

Code: Tout sélectionner

allow from all

ça me donne une erreur 500
si je bloque le répertoire à la racine, la redirection se fera -t-elle?

[webmasterlamogere]

si le répertoire accessible par ftp doit aussi être accessible par -http:// rien ne pourras empecher l'installation d'un script php malveillant.
il n'y a donc pas 36 solutions :
- donner l'accès ftp à des personnes de confiance
- donner un accès ftp sur un répertoire qui n'est accessible que par ftp et qui ne permet pas d'exécuter un script : un script a toi déplace les fichiers après contrôle par exemple.

[AniMo]

avec un truc du style :

RewriteCond %{QUERY_STRING} option=com_extplorer
RewriteCond %{QUERY_STRING} dir=dossier
RewriteRule index2\.php / [R=301]

ça marche pas. voila ce que j'ai écrit dans le htaccess au dessus du site. (dedans toto y a accès)

Code: Tout sélectionner

SetEnv PHP_VER 5
Options -indexes
#
RewriteEngine on
RewriteCond %{HTTP_HOST} (www.)?site.com$
RewriteRule /?(.*) http://www.site.com/sous_dossier/$1 [R=301,L]
RewriteCond %{QUERY_STRING} option=com_extplorer
RewriteCond %{QUERY_STRING} dir=dossier
RewriteRule index2\.php / [R=301]

si vous voyez un problème...

Merci pour l'aide!

[AniMo]

si le répertoire accessible par ftp doit aussi être accessible par -http:// rien ne pourras empecher l'installation d'un script php malveillant.
il n'y a donc pas 36 solutions :
- donner l'accès ftp à des personnes de confiance
- donner un accès ftp sur un répertoire qui n'est accessible que par ftp et qui ne permet pas d'exécuter un script : un script a toi déplace les fichiers après contrôle par exemple.

nos messages arrêtes pas de se croiser, merci beaucoup pour cette réactivité!
donc rien à faire?

j'attends une réponse différente du support, s'il n'y a rien j'alerterais leur service commercial. le service multi-ftp proposé est au mieux inefficace, au pire dangereux.

[webmasterlamogere]

la solution htaccess est bidon car il seras toujours possible de renommer le script ou d'en ajouter un autre.

le systeme de multi site simplifie beaucoup la gestion si c'est la même personne qui gère toutes les domaines et sous domaines. Je reconnais que dans ton cas c'est un inconvénient mais je ne pense pas qu'il a été concu dans ce but.

[Serious]

le service multi-ftp proposé est au mieux inefficace, au pire dangereux.

Disons qu'il permet de savoir qui a detruit quoi

[Yusuke]

le multi est efficace et safe, si on sait à quoi l'utiliser.
Moi je l'utilise pour faire déposer à mes clients des fichiers vidéos pour leur hébergement en zone hors-http, et un script dans leur Admin check en un clic si c'est bien une vidéo, et le déplace en zone http.

Si tu veux faire de l'hébergement pro avec accès FTP à tes clients, utilise un serveur (19 euros chez ovh...), pas un hébergement mutualisé.

[AniMo]

le systeme de multi site simplifie beaucoup la gestion si c'est la même personne qui gère toutes les domaines et sous domaines.

Oui, jusqu'à présent j'étais un utilisateur heureux des services d'ovh. C'est moi qui gère les sites, sous-sites, sous-domaines et multi-domaines. Les serveurs d'ovh fonctionnent bien, pas de soucis majeurs ou même de coupures depuis bien longtemps; tout est stable et fonctionnel. Mais j'imaginais pas que le multi-ftp serait à ce point défaillant; pour rappel voici la doc d'ovh à propos du multi-ftp (source: http://guides.ovh.com/MultiFtp )

Il peut servir notamment à fournir l'accés à un ami à la gestion d'une partie du site. Par exemple, vous pouvez lui fournir un accés FTP rien que pour la partie photos de votre galerie, il pourra comme cela ajouter d'autres photos directement par FTP.
De même, vous pouvez vous servir en plus de l'option multi-domaine pour gérer plusieurs sites, au travers d'un accès ftp unique pour chacun d'eux.

Par contre, vous ne pouvez pas limiter chaque espace disque, il faut donc faire attention qu'une personne ayant accés au FTP ne sature pas les autres espaces.

Voila, la seule limite dont ils parlent c'est les quotas...
Je me demande s'ils se rendent vraiment compte du problème. Sur la doc on dirait pas.

[Yusuke]

De même, vous pouvez vous servir en plus de l'option multi-domaine pour gérer plusieurs sites, au travers d'un accès ftp unique pour chacun d'eux.

je vois pas où il est dit que le but est de donner des accès FTP à différentes personnes...

Si tu veux etre hébergeur pro avec accès FTP à tes clients, la seule solution est le server dédié, ou un mutualisé par client.
12 euros par an pour 600 mo...

[AniMo]

De même, vous pouvez vous servir en plus de l'option multi-domaine pour gérer plusieurs sites, au travers d'un accès ftp unique pour chacun d'eux.

je vois pas où il est dit que le but est de donner des accès FTP à différentes personnes...

Si tu veux etre hébergeur pro avec accès FTP à tes clients, la seule solution est le server dédié, ou un mutualisé par client.
12 euros par an pour 600 mo...

- Quoi, créer un accès ftp par site c'est... pour soi-même?
- Et quand ils parlent d'"amis", c'est pour dire que ça ne peut être que des gens de confiance?
hum...J'avais pas vu du tout ce texte comme ça.
D'ailleurs mes amis ont autre chose à faire que de gérer mes sites!

Bref, l'hébergement pro ça me dit pas grand chose, même si je m'amuse de temps à autre avec un serveur ubuntu j'ai pas envie de me prendre la tête donc si vraiment rien n'est faisable de leur côté, je prendrais un hébergement spécifique pour ce site et je mettrais les autres ailleurs.

Merci à tous