Un pirate découvre une faille critique chez l’hébergeur 1&1

11
206

Exclusivité UnderNews – Un pirate vient de nous faire parvenir sa réaction face à une situation plutôt critique qu’il a jugé bon de dénoncer pour la sécurité de tous. Il s’agit d’un serveur non sécurisé appartenant à l’hébergeur bien connu 1&1.

Il se nomme Fawzii ColdFire. Ce pirate informatique explique avoir exploité une faille de sécurité banale sur le site d’un client 1&1. Jusqu’à là, rien d’extraordinaire me direz-vous… Sauf que ce dernier à poussé son investigation un peu plus loin et s’est aperçu que le Safe Mod d’Apache n’était pas actif. Il a ensuite tenté (avec succès) d’uploader un PHP Shell sur le serveur (82.165.126.50) et a exécuter celui-ci.

Plus grave encore, il a ensuite eu accès non pas seulement au répertoire du client, mais à TOUS les sites des 10 108 clients hébergés sur ce même serveur ! En gros, il a réussi à remonter jusqu’à la racine du serveur sans posséder les droits. Il explique ensuite qu’il suffirai de mener une attaque de type Symlink pour pouvoir voir le contenu des fichiers systèmes importants (ceux contenant des mots de passe par exemple).

Fawzii déclare avoir alerté l’hébergeur de sa découverte. Espérons que la faille soit corrigée et qu’elle ne soit pas présente sur les autres serveurs de 1&1 !

Voici les captures d’écran prises par le pirate :


11 Commentaires

  1. Comme je l’ai indiqué, j’ai contacté 1and1 par trois fois à ce sujet, avec pour seul réponse celle, automatique, qui indique la réception de ma requête, et m’assure qu’il va y être donné suite… Pour avoir utilisé auparavant un autre hébergeur (français et bien connu, et que je rejette maintenant d’avoir lâché pour des raisons bassement financières), je constate avec amertume qu’il n’y a pas photo en terme de réactivité, ou surtout d’efficacité. 1and1, de mon point de vue, n’est pas une bonne affaire….

  2. En ce qui me concerne, c’est presque tous les deux jours que je dois virer des fichiers .php malicieux déposés à la racine de mon espace d’hébergement. J’en suis à 3 mails (envoyés à partir du site de 1and1) sans réponse. Qui ne dit rien consent. J’en ai déduis qu’il y avait réellement un problème chez 1and1 (ça peut arriver) mais que personne n’était capable chez vous de le régler (c’est plus “embêtant”)…
    Par contre, quand une intrusion malveillante déclenche l’envoi de mails non sollicités (comme c’est arrivé la première fois que j’ai constaté une anomalie), vous être hyper-réactif pour menacer l’utilisateur de fermer son compte.
    Bref, s’il vous vient l’envie de me répondre, mon email est “accroché” à ce message, je crois.

  3. La culture c’est comme la confiture, moins on en a plus on l’étale.

    En quoi est-ce une faille de pouvoir parcourir une arborescence d’un système UNIX avec ses propres droits ? Arborescence, qui plus a, visiblement, des droits corrects.

    Encore si on pouvait parcourir les home des autres users… mais à part 3 screenshots d’un script kiddies, cet article ne nous apprend pas grand-chose….

  4. Ben c’est assez simple la je boss sur un autre Exploit dé-que je finis je vais mettre en ligne Quelque Fichier de Configurations du Serveur juste pour info: c’est pas tout les Servers de 1AND1 Qui sont Vulns mais juste “kundenserver.de” déjà laissé un Utilisateurs extraire le fichier /etc/passwd je trouve sa grave parce que j’ai la liste des Users mais bon vue que L’admin de 1and1 à dis Que c’est pas une faille c bon :/

  5. Le serveur mutu 1&1 est accessible pour tous les utilisateurs en SSH (pour ceux qui ont l’option) et de là vous pouvez parcourir le serveur dans tous les recoins. Pour une personne qui a des compétences en administration système, il est possible de profiter d’un serveur complet et notamment des répertoires tel que /usr/share/php, /etc, etc 🙂

    Le serveur ne permet nullement d’accéder aux répertoires des autres utilisateurs… c’est en place depuis des années de cette manière et il n’y a absolument rien de faux à cela. Il faudrait être root.

    Néanmoins la faille découverte sur le site hébergé par 1&1 permettra très bien d’écrire dans le répertoire personnel de l’utilisateur, l’espace qui sert avant tout à l’hébergement des sites. Lorsqu’un client utilise des CMS, il revient à lui de le maintenir à jour, et il arrive assez fréquemment qu’un site soit piraté pour cette raison. La configuration de PHP5 vient avec les recommandations de sécurité (safe_mode off, allow_url_fopen off) et c’est à l’utilisateur de l’activer manuellement (cf http://1and1faq.fr/phpinfo/php.php5).

    Mes 2 centimes.

  6. Bonjour,
    Il ne s’agit pas d’une faille de sécurité sur un serveur de 1&1 mais bien d’une faille de PHP, très facile à infiltrer quand PHP n’est pas bien utilisé. Nos serveurs sont parfaitement fiables et en aucun cas le pirate n’a eu accès à tous les sites hébergés sur le serveur.

    • Une faille PHP sur le site d’un client certes, mais la configuration du serveur devrait empêcher un éventuel pirate d’étendre ses droits jusqu’aux autres clients… Et ce n’est apparemment pas le cas d’après ColdFire.
      De même que chez Hosteur, il a pu avoir accès aux bases de données des autres clients, ce qui est bien une brèche de sécurité COTE SERVEUR.

  7. en même temps c’est pas un génie, ça se fait sur tous les hébergeurs et si vous avez un safe mode activé ça doit être super pratique pour les utilisateurs, par ailleurs il ne pourra pas faire grand chose avec les mdp des bdds vu que les bdds ne sont pas accessible depuis l’extérieur chez cet hébergeur.

Les commentaires sont fermés.