Discussion :

[karnabal]

Bonjour,

Je possède un espace FTP mutualisé avec plusieurs sites web hébergés dessus et qui tournent sous WordPress.

Récemment, tous les fichiers index ont été édités (un code JS redirigeant automatiquement les visiteurs vers des sites tiers), même ceux qui ne concernent pas les installations WordPress. J'ai téléchargé plusieurs fichiers sur mon ordinateur et mon antivirus signale de nombreux fichiers infectés par des chevaux de troie.

Grâce aux fonctionnalités de sauvegarde/restauration offertes par mon hébergeur (OVH) j'ai pu faire une restauration de tous les fichiers présents sur le FTP, ainsi qu'une restauration de toutes les bases de données des installations WordPress (je n'ai que des bases de données pour mes installations WordPress). Depuis, je n'ai plus la possibilité de restaurer les fichiers présents sur le FTP. J'ai pris contact avec l'hébergeur pour savoir s'il était possible d'y avoir de nouveau accès.

Ma question est la suivante : est-il possible qu'une faille de sécurité au niveau d'un site web situé dans un répertoire A puisse se propager aux fichiers situés dans des répertoires figurant au même niveau que le répertoire A ?

Voilà, j'espère que la question est claire. Si vous avez également quelques recommandations simples à partager, je prends aussi volontiers !

Merci d'avance !

[cavo789]

Bonsoir

La plupart du temps : OUI.

Quand tu as un hébergement, en général, tu peux créer dans ton dossier /public/html (ou équivalent) autant de dossiers (sites web) que tu veux. Et la sécurité est la même partout : tu es owner de chaque dossiers / fichiers ==> un virus dans le dossier /public/html/A peut remonter au parent (/public/html) et s'amuser à faire un glob p.ex. pour obtenir la liste des dossiers existants et s'y rendre pour se multiplier.

Donc : OUI.

(Note: j'ai déjà vu un hébergeur où un client pouvait remonter tout en haut de la racine et aller dans le dossier des autres clients; sur le même hébergeur; c'était un trou de sécurité énorme)

Maintenant, parfois, ce sera NON lorsque dans le dossier /public/html/A existe une restriction de type open_basedir (à placer dans le fichier php.ini) qui interdit à tout script dans /public/html/A de remonter au parent. En fait, la clause open_basedir spécifie les dossiers autorisés.

Bonne soirée.

[karnabal]

Merci beaucoup pour ces explications détaillées cavo789 !