fichier.php.txt est éxécuté... faille ?

[seebz]

Bonjour,
j'ai remarqué que des fichiers contenant '.php.' dans leur noms étaient éxécutés par php chez OVH (par exemple test.php.txt ou test.php.jpg)

j'ai lancé une discussion sur le forum ovh mais ca ne semble pas intriguer beaucoup de monde (mis à part ktp que je remercie pour sa participation)

personnellement, je trouve ce comportement étrange (celui d'apache hein ) et assez 'dangereux'.
qu'en pensez-vous ?

 

[LiFi]

Si c'est vrai c'est clair que c'est super dangereux C'est étonnant, selon depuis combien de temps c'est comme ça, on devrait voir beaucoup plus de posts de gens sur ovh venir pleurer de s'etre fait hacker leur sites. Comme je n'ai pas vu cette tendance je me dis soit que ce comportement est très récent, soit tu te trompes quelque part, soit les hackers ont décidemment que l'embarras du choix de failles à exploiter et donc rien ne ressort sur WRI en particulier pour les sites hébergés sur ovh.

 

[seebz]

Testé sur xxplan, ca peut-être très puissant car du code php contenu dans une image n'est pas détecté par getimagesize() s'il se trouve à la fin du fichier

j'ai été plus loin dans mes investigations :

j'édite une image que je nomme 'image.php.jpg' et y ajoute à la fin :
Code PHP:
<?php file_put_contents('hack.txt', 'azerty') ?>
constatations :
- getimagesize() me donne les informations (correctes) de l'image
- <img src="wink.php.jpg" /> affiche correctement l'image
- 'hack.txt' a été créé sur le serveur
- http://serveur/wink.php.jpg n'affiche pas l'image mais son contenu (normal, content-type n'est pas correct)

Vous trouvez ça normal ???

 

[Topsitemaker]

En tout cas c'est moins dangereux que de lire du php non interprété, c'est surement pour éviter ce genre de problèmes.

 

[Rod la Kox]

En tout cas c'est moins dangereux que de lire du php non interprété, c'est surement pour éviter ce genre de problèmes.

??? Une extension se lit suivant elle, pas un autre passage du fichier.

 

[seebz]

Apparement, ovh va corriger ça..

 

[Concombre Masqué]

J'ai le même problème, sur ovh aussi, sur mon dédié... le problème a-t-il été résolu pour vous ?

 

[Bool]

Je viens de lire ça, même les dédiés en release OVH semblent impactés... c'est hallucinant ce truc.

 

[YoyoS]

En effet c'est étrange, il parait qu'ils vont faire la mise à jour sur tous les serveurs d'un coup très bientôt.

 

[Bool]

"très bientôt", pour une faille d'une telle ampleur, je trouve le délai hyper long là.

 

[YoyoS]

Moi aussi, on pourrait très bien s'amuser à rechercher n'importe quels sites francophones avec upload de fichiers, d'images ,etc et causer des dégâts. On a quand même une grande chance de tomber sur un site hébergé chez ovh ... Enfin c'est surtout pour les autres car moi je renomme le nom des fichiers avant sauvegarde sur le serveur.

 

[seebz]

"très bientôt", pour une faille d'une telle ampleur, je trouve le délai hyper long là.

Début de semaine prochaine il semblerait..

Au moins, ils ont quand même pris ça au sérieux.. pas comme le support technique (via le manager) qui a été d'un "lourdeur" pas possible (pas peur de le dire )

 

[YoyoS]

Oue, sur le manager, c'est horrible. Tu leur explique un truc, ils lisent la première ligne, tu renvoies la suite, ils lisent la première ligne, et ainsi de suite ...

M'enfin, on les aime bien :mrgreen:, quand on a pas de problèmes en tout cas

 

[seebz]

Oue, sur le manager, c'est horrible. Tu leur explique un truc, ils lisent la première ligne, tu renvoies la suite, ils lisent la première ligne, et ainsi de suite ...

M'enfin, on les aime bien :mrgreen:, quand on a pas de problèmes en tout cas

C'est exactement ça :lol:

 

[seebz]

Pas très réactif, ils ont prétendu corriger cette faille début de la semaine du 12/01 et ce n'est toujours pas fait :?

je ne veut pas casser du beurre sur leur dos mais j'en attendais quand même plus de leur part

 

[ZelkiN]

Salut, perso je n'ai pas eu de probleme sur tout mes serv', mutu et dédié

c'est vrai que c'est une faille de grosse ampleur, apres peut etre est ce que vos serveurs sont mal config, et que tout le monde n'est pas touché :s

bye

 

[Leonick]

je viens de tester : mon serveur de dev chez moi est ok, ça ne s'exécute pas. Sur mon dédié ovh ok, sur du 60GP et 90Plan, par contre ça passe et sur du 1000GP ça me donne une erreur 500
En fait, ça vient de cette option du htaccess

Options +MultiViews

il doit s'agir d'un

AddType application/x-httpd-php

qui se trouve quelque part dans leur config apache.
Après tests, cela fonctionne avec toutes les extensions habituelles (txt, jpg, gif, ...)
Après, il suffit de vérifier le contenu des fichiers quand tu les télécharge et, surtout, de rendre non exécutables les répertoires où les fichiers sont accessibles aux utilisateurs

 

[dmathieu]

Il s'agit d'un problème apache. Pas OVH.
Autant ils peuvent le corriger sur les mutualisés, c'est eux qui ont la main sur le serveur.

Autant il est hors de question qu'ils s'amusent à patcher mon apache sur mon serveur dédié et j'espère bien qu'ils ne corrigeront pas cela en masse sur toutes les machines dédiées.
A vous donc de configurer correctement votre apache pour éviter ce genre de chose.

 

[Leonick]

A vous donc de configurer correctement votre apache pour éviter ce genre de chose.

as-tu vérifié si la faille fonctionnait sur ton serveur dédié ?

 

[dmathieu]

Non. Je l'ait corrigée
Preuve : http://files.dmathieu.com/test.php.txt
Je ne sais plus comment j'ai fait par contre. C'était il y a plusieurs mois.

C'est le genre de choses qui dépends de votre configuration Apache. Pas de OVH dans le cas d'un serveur dédié.

 

[seebz]

Il s'agit d'un problème apache. Pas OVH.
Autant ils peuvent le corriger sur les mutualisés, c'est eux qui ont la main sur le serveur.

Dans mon cas, il s'agit bien d'un hébergement mutualisé.
Même si le problème vient de Apache, qu'ils nous donnent au moins la solution pour éviter ce comportement, j'ai essayer plusieurs configuration .htaccess sans résultat :?

 

[bruno212]

Non. Je l'ait corrigée
Preuve : http://files.dmathieu.com/test.php.txt
Je ne sais plus comment j'ai fait par contre. C'était il y a plusieurs mois.

Juste pour signaler, ce n'est pas une faille, c'est de la configuration.

Par défaut, apache envoie les fichiers .php .php4 .php3 vers le parser php qui lit et exécute le code et retourne le résultat à Apache pour qu'il l'affiche sur le navigateur du client.

Si vous voulez que les fichiers .txt soient aussi traités par php, ajouter .txt sur la ligne de config correspondante:

AddType application/x-httpd-php .php .phtml .php3 .txt

De cette manière, chaque fois qu'Apache trouvera un fichier .txt, il vérifiera s'il y a du code php dedans.

à plus

 

[dmathieu]

@bruno212 c'est le contraire. Le AddType ne contient que .php
Et les fichiers à double extension sont interpretés alors qu'ils ne devraient pas

 

[bruno212]

@bruno212 c'est le contraire. Le AddType ne contient que .php
Et les fichiers à double extension sont interpretés alors qu'ils ne devraient pas

Oups, pardon, tu as raison, c'est mon parser à moi qui a mal interprété le post ;-)

 

[Leonick]

Dans mon cas, il s'agit bien d'un hébergement mutualisé.
Même si le problème vient de Apache, qu'ils nous donnent au moins la solution pour éviter ce comportement, j'ai essayer plusieurs configuration .htaccess sans résultat :?

ajoute ça

Options -MultiViews

dans le htaccess, mais ça risque de poser problème pour tes applis.
De toutes façons, tous les fichiers envoyés par les internautes doivent être vérifiés. Une image, par exemple, doit être retaillée. Pour la retailler, si le fichier monimage.php.jpg n'est pas au format jpeg, le fichier ne doit pas être copié et un message d'erreur doit être envoyé (ou affiché)

 

[forummp3]

Bon, comment on fait pour configurer avec un serveur dédié? je suis allé dans httpd.conf pour mettre "AddType application/x-httpd-php .php .phtml .php3", jai redmarré apache, mais fichier.php.ext est toujours interprété comme du php (par contre fichier.dfg.ext ne marche pas).

Donc, qu'y a t'il d'autre a configurer dans apache?

Merci d'avance

 

[forummp3]

alors? personne ne sait comment faire ?

 

[Leonick]

je n'ai pas réussi à comprendre pourquoi je n'avais pas cette faille sur mon dédié ou sur mon serveur de développement et comme je n'ai pas accès à la config apache des mutus, je ne sais donc pas comment changer ça.