TopHost: gravissima vulnerabilita' CPANEL - exploit - defacement

[DYNAMIC+]

Ciao

Mi serve mettermi in contatto con un po' di utenti
per verificare una vulnerabilita' di TopHost.

Tale vulnerabilita' permette di accedere al CPANEL del dominio
e di tutti i servizi collegati (DNS, MAIL, DB...) senza autorizzazione.


Non ho ancora mandato comunicazione a nessuno
ne divulgato il problema poiche' sarebbe devastante,
in quanto si potrebbero azzerare tutti i siti (e i DB, + le mail).

Per fare le prove incrociate
mi servirebbero dei volontari che mi autorizzino a testare.
NON SI PERDE ALCUN DATO.

Per mettersi in contatto con me...
SkypeID: dynamicplus

grazie per la collaborazione

[Uno]

Non ho capito... è una vulnerabilità di CPanel o di TopHost?

Spero che il senso di questo messaggio non sia di farti dare in privato password e simili da qualcuno che abboccasse come una trota.

[DYNAMIC+]

Non ho capito... è una vulnerabilità di CPanel o di TopHost?

Spero che il senso di questo messaggio non sia di farti dare in privato password e simili da qualcuno che abboccasse come una trota.

del CPANEL DI TOPHOST
per la collaborazione NON servono password,
solo il dominio da testare che sia hostato su TH

NIENTE dati personali

[Uno]

Solo del CPanel di TH?
E tutti gli altri CPanel nel mondo niente?

Comunque, se non chiedi i dati personali... se trovi qualche volontario... io non ho niente su TH.

[Rebel]

Ciao

Mi serve mettermi in contatto con un po' di utenti
per verificare una vulnerabilita' di TopHost.

Tale vulnerabilita' permette di accedere al CPANEL del dominio
e di tutti i servizi collegati (DNS, MAIL, DB...) senza autorizzazione.


Non ho ancora mandato comunicazione a nessuno
ne divulgato il problema poiche' sarebbe devastante,
in quanto si potrebbero azzerare tutti i siti (e i DB, + le mail).

Per fare le prove incrociate
mi servirebbero dei volontari che mi autorizzino a testare.
NON SI PERDE ALCUN DATO.

Per mettersi in contatto con me...
SkypeID: dynamicplus

grazie per la collaborazione

Contattare direttamente TopHost no eh?

[WizOfOz]

Qualche giorno fa avevo visto questa comunicazione (non di TH)

After investigating a certain hack, we've discovered a certain vulnerability in the cPanel set-up which could potentially allow an attacker to gain access to files and
databases from other packages.

To prevent issues arising from the above, we have disabled the use of "Options +FollowSymlinks" in the .htaccess file. If a website is using that code, you will receive a "500 Internal Server Error" while browsing that directory.
(Most Joomla/Wordpress/Drupal content management systems use the line of code in their .htaccess files).

As a workaround, you will need to replace "FollowSymlinks" with "symlinksifownermatch" as its more safer option from the .htaccess file. We already have "SymlinkIfOwnerMatch" enabled for entire "/home" directory.

The vulnerability was a real concern, which is why the changes needed to go live immediately. We do apologize if you have encountered a "500 Internal Server Error" owing to the change.

NOTE : Older Linux Hosting packages (before cPanel) will not be affected by this modification.

You are always free to get in touch with our Support Team incase you have any clarifications in this regard.

[DYNAMIC+]

Solo del CPanel di TH?
E tutti gli altri CPanel nel mondo niente?

Comunque, se non chiedi i dati personali... se trovi qualche volontario... io non ho niente su TH.

no il CPANEL di TH è customizzato
non è il solito cpanel...

[DYNAMIC+]

Contattare direttamente TopHost no eh?

quando saro' in possesso
di tutti i dettagli tecnici li contattero' come ho gia fatto 2 gg fa
x un altra mega-falla.

[DYNAMIC+]

Qualche giorno fa avevo visto questa comunicazione (non di TH)

No è una cosa completamente diversa e ben piu' grave.

[GrG]

il pannello di controllo di tophost non ha nulla a che vedere con il cpanel della cpanel inc

[GrG]

Confermo. Gli ho dato solo il dominio (che avrebbe potuto benissimo trovare con Google) e mi ha cambiato la password e creato un CNAME.

Che palle. Che due grandissime sfere pelose.

Tra l'altro a detta sua ieri ha trovato un altro gravissimo bug che gli ha permesso di vedere delle password e dati sensibili. Come mai tophost non ha avvisato gli utenti?

[cxcs]

Cavoli.

[usu]

azz, bel problema

[DYNAMIC+]

altri volontari?

[GrG]

Bel problema no, adesso li sfido a dire che il loro contratto non li costringe a tutelare i miei dati personali.