Multimania cumule !

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
24
mar.
2001
Sécurité
Depuis que l'hébergeur multimania (ex Mygale) offre l'utilisation de PHP à ces membres, les pages qui utilisent ce module sont très souvent inaccessibles. Pire encore, ce samedi, les pages utilisant PHP étaient à la disposition de tous, le code n'étant plus exécuté. Le problème, c'est que les mots de passe utilisateurs apparaissent alors dans la source à la vue de tous.
Pas pratique pour donner confiance à des membres très souvent en colère.

Note du modérateur: L'auteur de cette nouvelle proposait un lien sur un site de Multimania comme exemple, nous l'avons retiré pour éviter les abus. Ce n'est pas dur de trouver un exemple si vous voulez voir les codes des sites hébergés...

Aller plus loin

  • # c'est à la mode...

    Posté par  . Évalué à 1.

    c'est à la mode, les serveurs qui merdent.

    free.fr est dans le cirage depuis près d'un mois, tout particulièrement en ce qui concerne le PHP, mais pour l'affichage d'HTML tout con, c'est assez glorieux aussi.

    Mais bon, y'a pas de pub à la con sous free, free tourne sous Debian/GNU, le code PHP non exécuté n'est pas visible sur free.

    Et puis free n'a jamais paumé un fichier entier plein de mots de passe et utilisateurs...

  • # fait pas bon faire partie de l'assistance_tech

    Posté par  . Évalué à -1.

    pour sur, ca doit ruer dans les brancards
    Et y a pas loin d'ici ce que multimania change les pass de tout les comptes 'au cas ou', "h4ck3d by da 13luE 13aNaNa Cr3w" ca fait pas serieux


    quand Skreel se vautre on recoit des mails d'encouragement (non, on ne fait pas expres de planter le serveur ttes les semaines pour recevoir des encouragements ;)

    k`
    (score -1 : j suis pas la pour la ramener :p )

  • # Hmmmm... Pas très malin

    Posté par  (site web personnel) . Évalué à 1.

    Je suis allé faire un tour sur la liste des sites de Multimania, et il y a quelques minutes, ça continuait à afficher les .php librement (les admins devaient faire la sieste ; maintenant j'ai des erreurs 403, les admins doivent s'être reveillés mais ils ont toujours pas retrouvé leur doc d'Apache ;-). Bien sûr c'est très drôle, mais bon c'est pas malin. Parmi les gens qui lisent LinuxFR, il doit bien se trouver quelques h4x0r à la manque qui ne rêvent que de f... le bordel quelque part ; il eut mieux valu attendre que Multimania confirme la disparition du problème avant de publier ça :-|

    Envoyé depuis mon PDP 11/70

    • [^] # Re: Hmmmm... Pas très malin

      Posté par  (site web personnel, Mastodon) . Évalué à 1.

      J'ai moi-même appelé l'admin de mmania pour le mettre au courant, 10min après que le modérateur ait moderé la news.
      J'ai aussi rappeler au modérateur qu'il aurait du contacter multimania avant de passer la news. Mais bon c'était trop tard :-)

      • [^] # Re: Hmmmm... Pas très malin

        Posté par  . Évalué à 1.

        Ouais enfin c'est aussi aux admins de faire leur boulot aussi, il ne s'agit pas d'une faille de sécurité mais d'une connerie (supplémentaire) de ces derniers.
        Ils auraient du etre au courant tout de meme.

  • # Le lien?

    Posté par  . Évalué à 0.

    Quelqu'un pour mettre le lien interdit dans les commentaires ?
    Merci.

  • # Multimania cumule : reaction et sentiment

    Posté par  . Évalué à 5.

    Bonjour,

    Tout d'abord , je tiens a dire que les propos que je tiens n'engagent que moi et pas Multimania , meme si j'y travaille.

    Depuis le temps et suite aux divers problemes que Multimania rencontre ( PHP down , chat qui plante ), je pense qu'il etait necessaire d'etre transparent sur ce qui se passe en ce moment.

    1.)En ce qui concerne PHP :
    Le probleme a la base vient d'un de nos equipement reseau a savoir les load balancers qui presentent un bug concernant l'URL switching (niveau 7).
    Bien que le load balancer soit en gigabit , ce bug avait pour consequence de bloquer tous les services load balances c'est a dire l'ensemble des services de Multimania.
    Le choix a ete vite fait: Ou bien on ferme tous les services ou bien on ferme PHP.La suite vous la connaissez.
    Nous venons d'acheter de nouveau equipements reseau pour plusieurs millions de francs mais ces equipements ont des delais de livraisons de 2 mois. Ceci etant, nous travaillons actuellement a sortir une nouvelle version du service PHP qui j'en suis sur devrait vous plaire.

    En ce qui concerne le probleme de securite , c'est a dire que les serveurs servent des pages PHP en texte brut, voila la raison :
    C'est exactement le meme bug que la derniere fois et j'en prend la responsabilite, explication:

    Jeudi soir nous avons subi un DDOS assez important qui nous a oblige a rebooter electriquement (APC) beaucoup de serveurs web. Resultat une demi douzaine de serveurs avec le filesystem suffisamment endommage pour rendre la machine irrecuperable.

    Nous avons donc remis une dizaine de serveurs web (sous Debian GNU/linux , ReiserFS au passage) en prod Vendredi et ce dans l'urgence .Compte tenu de la charge sur multimania.com, on a fait vite , trop vite certes.

    Je tiens publiquement a remercier Fabien Penso de Linuxfr.org de m'avoir telephone pour me prevenir du probleme.

    Je tiens aussi a dire que ne porte pas beaucoup d'estime pour les gens qui jugent le travail des autres sans avoir la moindre idee de ce que represente la gestion d'un site comme celui de Multimania ainsi que sa complexite , site gere au niveau systeme/reseau jusqu'a tres recemment par 2 personnes seulement.
    2 nouveaux admins viennent de nous rejoindre et il est clair que dans les semaines qui viennent la qualite de service va nettement s'ameliorer.

    Encore une fois, les opinions exprimees ici n'engagent que moi et il me semblait devoir aux utilisateurs de Multimania un minimum de tranparence.

    Philippe Gramoulle

    ------------------------------
    Philippe Gramoullé
    Multimania / Groupe Lycos
    Ingenieur Systeme et Reseau
    gramoulle@mmania.com
    ------------------------------

    • [^] # Re: Multimania cumule : reaction et sentiment

      Posté par  . Évalué à 1.

      Meci pour cette information. Pure curiosite, quelle est le type/modele de load balancer utilise ?

    • [^] # Re: Multimania cumule : reaction et sentiment

      Posté par  . Évalué à 1.

      Sans deconner, y'a encore des gens qui ont des comptes sur multimediocre ?

      Le genre de site qui prend des libertes avec votre messagerie et ne vous previent qu'une fois le truc fait (septembre 99, tous les utilisateurs de multimania voyaient leur acces pop supprime au "profit" d'un superbe acces webmail faisant planter netscape si > 700 messages) ?

      Le genre de site dont la compta n'est pas accessible, contrairement a un site, rappelez-moi son nom, mygale.org, c'est ca ? dans les annees 96, 97...

      Le genre de site soi-disant communautaire, dont des messages disparaissent des forums internes (par exemple, au changement de nom en multimania, avec "fusion" avec virtualbaguette) ?

      Bon sang, on m'aurait menti ?

      Miod -- ex-mygalien, ex-donateur au mygalethon en 97... regrette depuis.

      • [^] # Re: Multimania cumule : reaction et sentiment

        Posté par  . Évalué à 1.

        « Encore une fois, les opinions exprimees ici n'engagent que moi et il me semblait devoir aux utilisateurs de Multimania un minimum de tranparence. »

        Là on est tout à fait d'accord. Ce qui est choquant c'est qu'il s'agit justement d'une démarche personnelle, la transparence.

        « Je tiens aussi a dire que ne porte pas beaucoup d'estime pour les gens qui jugent le travail des autres sans avoir la moindre idee de ce que represente la gestion d'un site comme celui de Multimania ainsi que sa complexite , site gere au niveau systeme/reseau jusqu'a tres recemment par 2 personnes seulement. »

        Ce n'est en rien un argument. Lorsqu'on crée un structure comme celle de multimania (ce n'est pas du pur altruisme, si ?), on en assume son poids.
        Les défaillances, ce sont des choses qui arrivent. Leur camouflage (par qui l'affaire des mots de passe perdu à t-elle été connue ?), c'est autre chose.
        (note : je trouve que les bandeaux de pub souffrent assez rarement de défaillances)

        (Cela dit, je salue tout de meme la démarche personnelle).

    • [^] # Re: [Comm] Multimania cumule : reaction et sentiment

      Posté par  . Évalué à -1.

      Anonyme ecrit:
      > Bonjour,

      bonjour
      test de bonjour
      1 2 1 2 3

      ---------------------------------------------------------------------------
      Ce message a été envoyé par Usenet.
      Path: seisen
      From: seisen@linuxfr.org (Fabien Seisen)
      NNTP-Posting-Host: localhost.linuxfr.org

      • [^] # Re: Re: Multimania cumule : reaction et sentiment

        Posté par  . Évalué à 1.

        On 25 Mar 2001 14:07:02 GMT, Anonyme <nomail@linuxfr.org> wrote:
        >bonjour
        >test de bonjour
        >1 2 1 2 3

        ça marche !:)))

        NB: pas cool l'IP en bas par contre :b
        ça va être chaud pour troller en anonyme now :)

        ---------------------------------------------------------------------------
        Ce message a été envoyé par Usenet.
        Path: Virginie
        From: Virginie@tolkien.mordor.net (I'm not a nerd, I'm socially challenged)
        NNTP-Posting-Host: aponcelet-101-1-5-3.abo.wanadoo.fr

    • [^] # Re: Multimania cumule : reaction et sentiment

      Posté par  . Évalué à 0.

      mais pkoi ne pas avoir mis le php sur une adresse dédié type php.multimania.com avec la ferme qui va bien et que les gens en attendant si ils le souhaitent modifie leur site et rajoute php.multimania.com//... pour chaque lien php, il pourraient pas utiliser d'index.php mais au pire ils font une page avec 2 frames, une minuscule et l'autre avec le index.php qui vient de php.multimania.com.
      Vous en pensez koi ?

    • [^] # Re: Multimania cumule : reaction et sentiment

      Posté par  . Évalué à 0.

      Bonjour,

      Enfin une info interesent sur multimania.

      Pourquoi se genre d'info n'a JAMAIS été transmise au utilisateurs, cela evitrais paut étre la situation actuelle sur les forums multimania.
      Car les réponces de support avec ces "bonjour de paris" et ces réponse au differents sujets qui sont exatement les mêmes ...

  • # re:

    Posté par  . Évalué à 0.

    j'ai moi même été victime de ces problèmes... :/ Et de plus, ca fait 1 semaines que je ne peut plus utiliser l'accès ftp...

    J'espère que la qualité de l'hébergement Multimania va rapidemment et grandement augmenté car là, ca devient critique...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.